Efterfrågan på teknikarbetare når rekordhög. Varför kämpar arbetsgivare med att anställa? Se nu
Google stödjer ett nytt projekt från Linux Foundation till en miljon dollar som syftar till att stärka säkerheten för viktiga projekt med öppen källkod.
Istället för en bug -bounty, försöker Googles senaste investering – en del av sitt löfte på 10 miljarder dollar till president Bidens cybersäkerhetsåtgärd – att ta itu med potentiella säkerhetsproblem innan de blir buggar genom förbättringar i hårdnande programvara mot attacker.
Dubbed Secure Open Source (SOS), pilotprogrammet som drivs av Linux Foundation, “belönar utvecklare ekonomiskt för att öka säkerheten för kritiska öppen källkodsprojekt”.
SE: Vill du inte bli hackad? Undvik sedan dessa tre ”exceptionellt farliga” cybersäkerhetsfel
Belöningarna sträcker sig från “10 000 dollar eller mer” för att härda mjukvara på ett sätt som förhindrar stora buggar till 505 dollar för “små förbättringar” som har förtjänst, enligt ett blogginlägg från Google.
Belöningar på mellan $ 5 000 och $ 10 000 är tillgängliga för “måttligt komplexa förbättringar som erbjuder övertygande säkerhetsfördelar” medan belöningar på $ 1000 till $ 5000 är för lösningar som visar “blygsam komplexitet och inverkan”.
“Vi börjar med en investering på 1 miljon dollar och planerar att utöka programmets omfattning baserat på feedback från gemenskapen”, säger medlemmar i Googles säkerhetsteam för öppen källkod.
Programmet syftar till att stödja projekt som proaktivt härdar kritiska öppen källkodsprojekt och stöder infrastruktur mot applikations- och supply chain-attacker.
Programvaruförsörjningskedjor kom i fokus efter den kremlstödda cyberattacken på amerikanska myndigheter och teknikföretag via en förgiftad uppdatering från företagets mjukvaruföretag var SolarWinds
SolarWinds inte den första attackkedjan. NotPetya, ransomware-attacken 2017 som också anklagades för kremlstödda hackare, var ett annat exempel.
Den europeiska tankesmedjan för cybersäkerhet ENISA är också orolig för programvaruförsörjningskedjeanfall, uppmanar organisationer att undersöka och dokumentera mjukvaruleverantörer, definiera deras risk och övervaka programvarukedjor.
Programvara med öppen källkod utgör en annan utmaning som Google försöker hantera genom SOS: finansieringsgapet för mjukvaruprojekt som till stor del drivs på frivillig basis. Med andra ord, dessa projekt behöver pengar för att leverera säkerhet.
“SOS -programmet är en del av en bredare strävan att ta itu med en växande sanning: världen förlitar sig på öppen källkod, men omfattande stöd och ekonomiska bidrag är nödvändiga för att hålla den programvaran säker och säker”, konstaterar Google.
“Vi ser SOS-pilotprogrammet som utgångspunkt för framtida insatser som förhoppningsvis kommer att samla andra stora organisationer och göra det till ett hållbart, långsiktigt initiativ under OpenSSF”, tillägger det.
SE: Ett molnföretag bad säkerhetsforskare att se över sina system. Här är vad de hittade
Google och OpenSSF – eller Open Source Security Foundation – stödde tidigare detta år detta mål med lanseringen av OpenSSF -säkerhetskort, som automatiskt kontrollerar programvara.
Via en riskpoäng syftar det initiativet till att sänka kostnaden för att göra säker programvara och stöta upp den på prioriteringslistan genom att hjälpa utvecklare att utvärdera säkerheten när de byter paket i ett projekts leveranskedja.
De nya belöningarna är kopplade till detta poängkort och Googles ram för Supply chain Levels for Software Artifacts, eller SLSA. Alla nya belöningsinsändningar för SOS -belöningar kommer att bedömas av Linux Foundation och Google Open Source Security Team (GOSST). Men projektteamet betonar att det inte är en bug bounty.
“Det är inte ett bug -bounty -program och belönar inte rapporter om specifika projektsårbarheter. Eventuella sårbarheter som finns i ett projekt ska rapporteras i enlighet med projektets policy för offentliggörande av säkerhet, inte genom detta program”, konstaterar SOS -sidan.
Säkerhet
Fortinet, Shopify rapporterar problem efter root -CA -certifikat från Lets Encrypt går ut Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott orsakade av DDoS -attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 