Language
Googleはオープンです

ブログ

ホームページホームページ / ブログ / Googleはオープンです
search

Oct 22, 2023

ヨーロッパ最大のEV充電会社10社

Sep 02, 2023

ジープ ラングラー 4xe について知っておくべき 10 のこと

Aug 10, 2023

あなたの子供を安全に(そして閉じ込めて)守るための最高の幼児用ベッドレールとバンパー17選

Jan 07, 2024

あなたの子供を安全に(そして閉じ込めて)守るための最高の幼児用ベッドレールとバンパー17選

Nov 02, 2023

2023年にあなたの犬を安全に保つためのベスト18のドッグゲート

お問い合わせを送信してください
送信

Sep 22, 2023

Googleはオープンです

Di Mitchell Clark Google ha introdotto un nuovo programma di ricompensa delle vulnerabilità.

ミッチェル・クラーク著

Googleは、同社のオープンソースソフトウェアや、同社のソフトウェアが構築されている構成要素のセキュリティ上の欠陥を発見した研究者に報酬を支払う新しい脆弱性報奨金プログラムを導入した。 Angular、GoLang、Fuchsia などのプロジェクトのバグに関する情報や、これらのプロジェクトのコードベースに含まれるサードパーティの依存関係の脆弱性については、101 ドルから 31,337 ドルの範囲で支払われます。

Google にとって、自社のプロジェクト (および、コードへの変更を追跡するために使用するソフトウェアのバグを修正することは重要です。プログラムでもこれに対応しています) が重要ですが、おそらく最も興味深い部分は、サードパーティの依存関係に関する部分でしょう。 プログラマーは、同じ車輪を継続的に再発明する必要がないように、オープンソース プロジェクトのコードを使用することがよくあります。 しかし、開発者はそのコードとその更新を直接インポートすることが多いため、サプライ チェーン攻撃の可能性が生じます。 このとき、ハッカーは Google 自体によって直接制御されているコードをターゲットにするのではなく、代わりにサードパーティの依存関係を狙うのです。

オープンソース ライブラリは、より大規模なプロジェクトへのトロイの木馬として使用されることがあります

SolarWinds が示したように、この種の攻撃はオープンソース プロジェクトに限定されません。 しかしここ数年、依存関係のせいで大企業がセキュリティを危険にさらされているという事例をいくつか目にしてきました。 この種の攻撃ベクトルを軽減する方法はあります。Google 自体も、人気のあるオープンソース プログラムのサブセットの精査と配布を開始していますが、プロジェクトで使用されているすべてのコードをチェックすることはほぼ不可能です。 コミュニティが依存関係やファーストパーティのコードをチェックするよう奨励することで、Google はより幅広い網を張ることができます。

Google の規則によれば、オープンソース ソフトウェア脆弱性報奨金プログラムからの支払いは、バグの重大度と、バグが見つかったプロジェクトの重要性に応じて決まります (Fuchsia などは「フラッグシップ」プロジェクトとみなされ、そのため、最大の支払い額)。 サプライチェーンの脆弱性に対する報奨金に関しては、追加のルールもいくつかある。研究者はGoogleに伝える前に、まずサードパーティプロジェクトの実際の責任者に知らせる必要がある。 また、その問題が Google のプロジェクトに影響を与えることを証明する必要もあります。 会社が使用していないライブラリの一部にバグがある場合、そのライブラリはプログラムの対象外となります。

「研究者は、オープンソース エコシステム全体に影響を与える可能性のあるバグを発見すると報酬を得ることができるようになりました。」

Googleはまた、同社のオープンソースプロジェクトに使用しているサードパーティのサービスやプラットフォームを人々が覗き見することを望んでいないとも述べている。 GitHub リポジトリの構成方法に問題が見つかった場合でも、問題はありません。 GitHub のログイン システムに問題が見つかった場合、それはカバーされません。 (Googleは、人々に「他のユーザーや企業に属する資産のセキュリティ調査を彼らに代わって実施する」権限を与えることはできないと言っている。)

お金が目的ではない研究者のために、Google は研究者が選んだ慈善団体に報酬を寄付することを提案しています。同社はその寄付金を 2 倍にするとさえ言っています。

明らかに、これは Google によるバグ報奨金の最初の突破ではありません。Google は 10 年以上にわたって何らかの形式の脆弱性報奨金プログラムを実施していました。 しかし、同社が警鐘を鳴らしている問題に対して行動を起こしているのは良いことだ。 今年初め、人気のオープンソース Log4j ライブラリで Log4Shell エクスプロイトが発見されたことを受けて、Google は米国政府が重要なオープンソース プロジェクトにおけるセキュリティ問題の発見と対処にもっと関与する必要があると述べた。 それ以来、BleepingComputer が指摘しているように、同社は Kubernetes や Linux カーネルなどの特定のオープンソース プロジェクトでバグを発見した人への支払いを一時的に増額しました。

/ Verge Deals にサインアップすると、テスト済みの製品に関するセールが毎日受信箱に送信されます。