Efterspørgslen efter teknikere når rekordhøj. Hvorfor kæmper arbejdsgivere med at ansætte? Se nu
Google støtter et nyt projekt fra Linux Foundation til en værdi af 1 million dollars, der har til formål at styrke sikkerheden ved kritiske open source-projekter.
I stedet for en bug bounty søger Googles seneste investering – en del af sit løfte på 10 milliarder dollar til præsident Bidens cybersikkerhed – at løse potentielle sikkerhedsproblemer, før de bliver fejl ved forbedringer i hærdning af software mod angreb.
Dubbed Secure Open Source (SOS), pilotprogrammet, der drives af Linux Foundation, “belønner udviklere økonomisk for at øge sikkerheden ved kritiske open source-projekter”.
SE: Vil du ikke blive hacket? Undgå derefter disse tre 'usædvanligt farlige' fejl i cybersikkerhed
Belønningerne spænder fra “$ 10.000 eller mere” for hærdning af software på en måde, der forhindrer større fejl til $ 505 for “små forbedringer”, der har fortjeneste, ifølge et Google -blogindlæg.
Belønninger på mellem $ 5.000 og $ 10.000 er tilgængelige for “moderat komplekse forbedringer, der tilbyder overbevisende sikkerhedsfordele”, mens belønninger på $ 1.000 til $ 5.000 er for løsninger, der viser “beskeden kompleksitet og effekt”.
“Vi starter med en investering på 1 million dollars og planlægger at udvide programmets anvendelsesområde baseret på feedback fra fællesskabet,” siger medlemmer af Google Open Source Security Team.
Programmet har til formål at støtte projekter, der proaktivt hærder kritiske open source-projekter og understøtter infrastruktur mod applikations- og forsyningskædeangreb.
Softwareforsyningskæder kom i fokus efter den cembra-støttede cyberangreb på amerikanske regeringer og tech-virksomheder via en forgiftet opdatering fra virksomhedens softwarefirma var SolarWinds
SolarWinds ikke det første angreb i forsyningskæden. NotPetya, ransomware-angrebet fra 2017, der også blev bebrejdet kreml-støttede hackere, var et andet eksempel.
Den europæiske cybersikkerhedstænketank ENISA er også bekymret over softwareforsyningskædeangreb, opfordrer organisationer til at undersøge og dokumentere softwareleverandører, definere deres risiko og overvåge softwareforsyningskæder.
Open-source software er en anden udfordring, som Google forsøger at løse via SOS: finansieringsgabet til softwareprojekter, der stort set drives på frivillig basis. Med andre ord har disse projekter brug for penge til at levere sikkerhed.
“SOS -programmet er en del af en bredere indsats for at tage fat på en voksende sandhed: Verden er afhængig af open source -software, men udbredt støtte og økonomiske bidrag er nødvendige for at holde denne software sikker og sikker,” bemærker Google.
“Vi forestiller os SOS-pilotprogrammet som udgangspunkt for fremtidige bestræbelser, der forhåbentlig vil samle andre store organisationer og gøre det til et bæredygtigt, langsigtet initiativ under OpenSSF,” tilføjer det.
SE: Et skyfirma bad sikkerhedsforskere om at se over sine systemer. Her er, hvad de fandt
Google og OpenSSF – eller Open Source Security Foundation – tidligere på året bakkede op om dette mål med lanceringen af OpenSSF -sikkerhedskort, der automatisk tjekker software.
Via en risikoscore har dette initiativ til formål at sænke omkostningerne ved at lave sikker software og komme op på prioriteringslisten ved at hjælpe udviklere med at evaluere sikkerhed, når de ændrer pakker i et projekts forsyningskæde.
De nye belønninger er knyttet til dette scorekort og Googles Supply chain Levels for Software Artifacts framework eller SLSA. Alle nye belønningsindsendelser for SOS -belønninger vil blive vurderet af Linux Foundation og Google Open Source Security Team (GOSST). Men projektteamet understreger, at det ikke er en bug -dusør.
“Det er ikke et bug -bounty -program og belønner ikke rapporter om specifikke projektsårbarheder. Eventuelle sårbarheder, der findes i et projekt, bør rapporteres i henhold til projektets politik om oplysning om sikkerhed, ikke gennem dette program,” bemærker SOS -siden.
Sikkerhed
Fortinet, Shopify rapporterer problemer efter root -CA -certifikat fra Lets Encrypt udløber Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -CEO bekræfter afbrydelser forårsaget af DDoS -angreb Disse systemer står over for milliarder af angreb hver måned, da hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersikkerhed Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Sikkerhed TV Data Management CXO datacentre 