De vraag naar technisch personeel bereikt een recordhoogte. Waarom hebben werkgevers moeite om mensen aan te nemen? Nu kijken
Google steunt een nieuw project van de Linux Foundation voor een bedrag van $ 1 miljoen dat tot doel heeft de beveiliging van kritieke open-sourceprojecten te versterken.
In plaats van een bug bounty, probeert Google's nieuwste investering – een deel van de toezegging van $ 10 miljard aan president Biden's cybersecurity push – potentiële beveiligingsproblemen aan te pakken voordat ze bugs worden door verbeteringen in het harden van software tegen aanvallen.
Nagesynchroniseerde Secure Open Source (SOS), het proefprogramma van de Linux Foundation, “beloont ontwikkelaars financieel voor het verbeteren van de beveiliging van kritieke open-sourceprojecten”.
ZIE: Wil je niet gehackt worden? Vermijd dan deze drie 'uitzonderlijk gevaarlijke' cyberbeveiligingsfouten
De beloningen variëren van “$ 10.000 of meer” voor het verharden van software op een manier die grote bugs voorkomt tot $ 505 voor “kleine verbeteringen” die verdienste hebben, volgens een Google-blogpost.
Beloningen tussen $ 5.000 en $ 10.000 zijn beschikbaar voor “redelijk complexe verbeteringen die overtuigende beveiligingsvoordelen bieden”, terwijl beloningen van $ 1.000 tot $ 5.000 zijn voor oplossingen die “bescheiden complexiteit en impact” vertonen.
“We beginnen met een investering van $ 1 miljoen en zijn van plan de reikwijdte van het programma uit te breiden op basis van feedback van de gemeenschap”, zeggen leden van het Google Open Source Security Team.
Het programma is bedoeld om projecten te ondersteunen die kritieke open-sourceprojecten en ondersteunende infrastructuur proactief beschermen tegen aanvallen van applicaties en toeleveringsketens.
Softwaretoeleveringsketens kwamen in beeld na de door het Kremlin gesteunde cyberaanval op Amerikaanse overheidsinstanties en technologiebedrijven via een vergiftigde update van het softwarebedrijf voor ondernemingen, SolarWinds
SolarWinds was niet de eerste aanval op de toeleveringsketen. NotPetya, de ransomware-aanval van 2017 die ook werd toegeschreven aan door het Kremlin gesteunde hackers, was een ander voorbeeld.
De Europese denktank voor cyberbeveiliging ENISA maakt zich ook zorgen over aanvallen op de toeleveringsketen van software, en dringt er bij organisaties op aan softwareleveranciers te onderzoeken en te documenteren, hun risico's te bepalen en de toeleveringsketens van software te bewaken.
Open-source software vormt een andere uitdaging die Google probeert aan te pakken via SOS: het financieringstekort voor softwareprojecten die grotendeels op vrijwillige basis worden uitgevoerd. Met andere woorden, deze projecten hebben geld nodig om veiligheid te bieden.
“Het SOS-programma maakt deel uit van een bredere inspanning om een groeiende waarheid aan te pakken: de wereld vertrouwt op open source-software, maar brede ondersteuning en financiële bijdragen zijn nodig om die software veilig en beveiligd te houden”, merkt Google op.
“We zien het SOS-pilotprogramma als het startpunt voor toekomstige inspanningen die hopelijk andere grote organisaties zullen samenbrengen en het veranderen in een duurzaam langetermijninitiatief onder de OpenSSF”, voegt het eraan toe.
ZIE: Een cloudbedrijf vroeg beveiligingsonderzoekers om naar zijn systemen te kijken. Dit is wat ze hebben gevonden
Google en de OpenSSF – of de Open Source Security Foundation – begin dit jaar ondersteunden dit doel met de lancering van OpenSSF-beveiligingsscorecards, die automatisch software controleren.
Via een risicoscore heeft dat initiatief tot doel de kosten van het maken van veilige software te verlagen en deze op de prioriteitenlijst te plaatsen door ontwikkelaars te helpen de beveiliging te evalueren bij het wijzigen van pakketten in de toeleveringsketen van een project.
De nieuwe beloningen zijn gekoppeld aan deze scorekaart en Google's Supply chain Levels for Software Artifacts framework, of SLSA. Alle nieuwe inzendingen van beloningen voor SOS-beloningen worden beoordeeld door de Linux Foundation en het Google Open Source Security Team (GOSST). Maar het projectteam benadrukt dat het geen bug bounty is.
“Het is geen bug bounty-programma en beloont geen rapporten van specifieke projectkwetsbaarheden. Alle kwetsbaarheden die in een project worden gevonden, moeten worden gerapporteerd volgens het beveiligingsbeleid van het project, niet via dit programma”, merkt de SOS-pagina op.
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen als hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 