La domanda di lavoratori tecnologici sta raggiungendo un livello record. Perché i datori di lavoro faticano ad assumere? Guarda ora
Google sostiene un nuovo progetto della Linux Foundation per un importo di 1 milione di dollari che mira a rafforzare la sicurezza dei progetti open source critici.
Piuttosto che un bug bounty, l'ultimo investimento di Google, una parte del suo impegno di $ 10 miliardi per la spinta alla sicurezza informatica del presidente Biden, cerca di affrontare potenziali problemi di sicurezza prima che diventino bug attraverso miglioramenti nel rafforzamento del software contro gli attacchi.
Dubbed Secure Open Source (SOS), il programma pilota gestito dalla Linux Foundation, “premia finanziariamente gli sviluppatori per aver migliorato la sicurezza dei progetti open source critici”.
VEDI: Non vuoi essere hackerato? Quindi evita questi tre errori di sicurezza informatica “eccezionalmente pericolosi”
Le ricompense vanno da “$ 10.000 o più” per l'hardening del software in modo da evitare bug importanti a $ 505 per “piccoli miglioramenti” che hanno dei meriti, secondo un blogpost di Google.
Sono disponibili ricompense comprese tra $ 5.000 e $ 10.000 per “miglioramenti moderatamente complessi che offrono vantaggi di sicurezza convincenti”, mentre i premi tra $ 1.000 e $ 5.000 sono per soluzioni che mostrano “complessità e impatto modesti”.
“Stiamo iniziando con un investimento di 1 milione di dollari e prevediamo di espandere l'ambito del programma in base al feedback della community”, affermano i membri del Google Open Source Security Team.
Il programma mira a supportare progetti che rafforzano in modo proattivo progetti open source critici e supportano l'infrastruttura contro gli attacchi alle applicazioni e alla catena di approvvigionamento.
Le catene di approvvigionamento del software sono state messe a fuoco dopo l'attacco informatico sostenuto dal Cremlino alle agenzie governative statunitensi e alle aziende tecnologiche. tramite un aggiornamento avvelenato da un'azienda di software aziendale, SolarWinds
SolarWinds non è stato il primo attacco alla catena di approvvigionamento. NotPetya, l'attacco ransomware del 2017 che è stato anche attribuito agli hacker sostenuti dal Cremlino, è stato un altro esempio.
Il think tank europeo sulla sicurezza informatica ENISA è anche preoccupato per gli attacchi alla catena di approvvigionamento del software, sollecitando le organizzazioni a controllare e documentare i fornitori di software, definire il loro rischio e monitorare le catene di approvvigionamento del software.
Il software open source presenta un'altra sfida che Google sta cercando di affrontare tramite SOS: il deficit di finanziamento per i progetti software che sono in gran parte gestiti su base volontaria. In altre parole, questi progetti hanno bisogno di denaro per garantire la sicurezza.
“Il programma SOS fa parte di uno sforzo più ampio per affrontare una verità crescente: il mondo si basa su software open source, ma sono necessari un supporto diffuso e contributi finanziari per mantenere quel software sicuro e protetto”, osserva Google.
“Prevediamo che il programma pilota SOS sia il punto di partenza per sforzi futuri che si spera riuniranno altre grandi organizzazioni e lo trasformeranno in un'iniziativa sostenibile a lungo termine nell'ambito di OpenSSF”, aggiunge.
VEDI: Una società cloud ha chiesto ai ricercatori di sicurezza di esaminare i suoi sistemi. Ecco cosa hanno scoperto
Google e OpenSSF – o Open Source Security Foundation – all'inizio di quest'anno hanno sostenuto questo obiettivo con il lancio delle scorecard di sicurezza di OpenSSF, che controllano automaticamente il software.
Attraverso un punteggio di rischio, tale iniziativa mira a ridurre il costo di creazione di software sicuro e a inserirlo nell'elenco delle priorità aiutando gli sviluppatori a valutare la sicurezza quando cambiano i pacchetti nella catena di approvvigionamento di un progetto.
I nuovi premi sono collegati a questa scheda punteggi e al framework dei livelli della catena di approvvigionamento di Google per gli artefatti software, o SLSA. Tutte le nuove richieste di ricompense per i premi SOS saranno valutate dalla Linux Foundation e dal Google Open Source Security Team (GOSST). Ma il team del progetto sottolinea che non si tratta di un bug bounty.
“Non è un programma di bug bounty e non premia le segnalazioni di vulnerabilità specifiche del progetto. Eventuali vulnerabilità rilevate in un progetto dovrebbero essere segnalate in base alla politica di divulgazione della sicurezza del progetto, non attraverso questo programma”, osserva la pagina SOS.
Sicurezza
Fortinet e Shopify segnalano problemi dopo la scadenza del certificato CA root di Lets Encrypt Le gang di ransomware si lamentano del fatto che altri truffatori stanno rubando i loro riscatti Il CEO di Bandwidth conferma le interruzioni causate da attacchi DDoS Questi i sistemi affrontano miliardi di attacchi ogni mese mentre gli hacker cercano di indovinare le password Come ottenere un lavoro ben pagato nella sicurezza informatica Cybersecurity 101: proteggi la tua privacy da hacker, spie, governo
Argomenti correlati:
Gestione dei dati TV di sicurezza Data Center CXO 