Google erweitert Bug-Bounty-Programm, um Lieferketten-Angriffe vorzubeugen

Das Technologieunternehmen Google hat sein neues Open Source Software Vulnerability Rewards Program (OSS VRP) gestartet. Teilnehmende Sicherheitsforscher sollen unter anderem die Open-Source-Projekte des Unternehmens Angular und Golang auf Sicherheitslücken abklopfen. Aber auch Tools von Drittanbietern stehen im Fokus. Für gefundene Schwachstellen gibt es maximal bis zu knapp 31.000 US-Dollar als Belohnung.

Wie aus einem Beitrag hervorgeht, will Google damit primär gegen Lieferketten-Angriffe vorgehen. Dabei handelt es sich um Attacken auf Schwachstellen in Open-Source-Software, die in anderen Anwendungen zum Einsatz kommt und somit auch diese angreifbar macht. Das war etwa bei der Log4Shell-Lücke in der weitverbreiteten Java-Bibliothek Log4j der Fall. Einem Bericht von Sonatype zufolge stieg die Zahl der Lieferketten-Angriffe 2021 um 650 Prozent.

Auch Software von Drittanbietern im Fokus

Auf einer Unterseite fasst Google wichtige Fakten und Regeln zum OSS VRP zusammen. Neben Software in den Repositorys des Unternehmens sollen Sicherheitsforscher auch auf Schwachstellen in Abhängigkeiten von Drittanbietern schauen. Dort entdeckte Lücken sollen Teilnehmer des Programms zuerst an die jeweiligen Verantwortlichen melden, damit diese Patches entwickeln können, bevor Google davon erfährt.

Die höchsten Prämien will das Unternehmen für Schwachstellen zahlen, die Lieferketten-Angriffe ermöglichen. Beispielsweise wenn Angreifer Code in Repositorys manipulieren können, sodass von Programmierern heruntergeladene Programmpakete mit Schadcode verseucht sind. Aber auch das Auffinden von etwa öffentlich verfügbaren Passwörtern und schwachen Algorithmen für Kennwörter im Open-Source-Bereich will Google vergüten.

Das normale Bug-Bounty-Programm für Anwendungen wie Chrome aus dem eigenen Haus gibt es bereits seit 12 Jahren. Google gibt an, bislang 38 Millionen US-Dollar an Prämien ausgezahlt zu haben.

(des)