Etterspørselen etter teknikere når rekordhøye. Hvorfor sliter arbeidsgivere med å ansette? Se nå
Google støtter et nytt prosjekt fra Linux Foundation til en million dollar som tar sikte på å styrke sikkerheten til viktige open source-prosjekter.
I stedet for en bug -premie, søker Googles siste investering – en del av løftet på 10 milliarder dollar til president Bidens cybersikkerhet – for å løse potensielle sikkerhetsproblemer før de blir feil gjennom forbedringer i herding av programvare mot angrep.
Dubbed Secure Open Source (SOS), pilotprogrammet som drives av Linux Foundation, “belønner utviklere økonomisk for å øke sikkerheten til kritiske åpen kildekode-prosjekter”.
SE: Vil du ikke bli hacket? Unngå deretter disse tre “eksepsjonelt farlige” feilene i cybersikkerhet
Belønningene varierer fra “$ 10.000 eller mer” for herding av programvare på en måte som forhindrer store feil til $ 505 for “små forbedringer” som har fortjeneste, ifølge et blogginnlegg fra Google.
Belønninger på mellom $ 5000 og $ 10 000 er tilgjengelige for “moderat komplekse forbedringer som gir overbevisende sikkerhetsfordeler”, mens belønninger på $ 1000 til $ 5000 er for løsninger som viser “beskjeden kompleksitet og innvirkning”.
“Vi starter med en investering på 1 million dollar og planlegger å utvide omfanget av programmet basert på tilbakemeldinger fra samfunnet,” sier medlemmer av Google Open Source Security Team.
Programmet tar sikte på å støtte prosjekter som proaktivt herder kritiske åpen kildekode-prosjekter og støtter infrastruktur mot applikasjons- og forsyningskjedeangrep.
Programvareforsyningskjeder kom i fokus etter den kremlstøttede cyberangrepet på amerikanske myndigheter og teknologifirmaer via en forgiftet oppdatering fra bedriftens programvarefirma, var SolarWinds
SolarWinds ikke det første angrepet i forsyningskjeden. NotPetya, ransomware-angrepet 2017 som også ble klandret for kreml-støttede hackere, var et annet eksempel.
Den europeiske tenketanken for cybersikkerhet ENISA er også bekymret for programvareforsyningskjedeangrep, og oppfordrer organisasjoner til å undersøke og dokumentere programvareleverandører, definere deres risiko og overvåke programvareforsyningskjeder.
Programvare med åpen kildekode presenterer en annen utfordring som Google prøver å løse gjennom SOS: finansieringsgapet for programvareprosjekter som i stor grad drives på frivillig basis. Med andre ord trenger disse prosjektene penger for å levere sikkerhet.
“SOS -programmet er en del av et bredere forsøk på å ta tak i en voksende sannhet: verden er avhengig av åpen kildekode -programvare, men omfattende støtte og økonomiske bidrag er nødvendige for å holde denne programvaren trygg,” bemerker Google.
“Vi ser for oss SOS-pilotprogrammet som utgangspunkt for fremtidig innsats som forhåpentligvis vil samle andre store organisasjoner og gjøre det til et bærekraftig, langsiktig initiativ under OpenSSF,” legger det til.
SE: Et skyfirma ba sikkerhetsforskere om å se over systemene sine. Her er hva de fant
Google og OpenSSF – eller Open Source Security Foundation – tidligere i år støttet dette målet med lanseringen av OpenSSF -sikkerhetskort, som automatisk sjekker programvare.
Via en risikopoeng, tar initiativet til å senke kostnadene ved å lage sikker programvare og komme opp på prioriteringslisten ved å hjelpe utviklere med å evaluere sikkerhet når de endrer pakker i prosjektets forsyningskjede.
De nye belønningene er knyttet til dette poengkortet og Googles ramme for Supply chain Levels for Software Artifacts, eller SLSA. Alle nye belønningsinnleveringer for SOS -belønninger vil bli vurdert av Linux Foundation og Google Open Source Security Team (GOSST). Men prosjektgruppen understreker at det ikke er en bug -dusør.
“Det er ikke et bug -bounty -program og belønner ikke rapporter om spesifikke prosjektproblemer. Eventuelle sårbarheter som finnes i et prosjekt, bør rapporteres i henhold til prosjektets retningslinjer for avsløring av sikkerhet, ikke gjennom dette programmet,” sier SOS -siden.
Sikkerhet
Fortinet, Shopify rapporterer problemer etter at rot -CA -sertifikatet fra Lets Encrypt utløper Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Disse systemer møter milliarder av angrep hver måned mens hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
Sikkerhet TV Data Management CXO datasentre 