随着供应链攻击的威胁越来越大,全球巨头纷纷推出各种措施来降低供应链攻击的威胁。2022年5月,谷歌将成立新的“开源维护团队”,重点加强重点开源项目的安全性。8月29日,谷歌再次推出新举措,推出开源软件漏洞奖励计划(OSSVRP),这是首批针对开源的漏洞计划之一。奖励金额从100美元到31,337美元(约合人民币210,000+)不等,以保护生态系统免受供应链攻击。众所周知,谷歌是Angular、Bazel、Golang、ProtocolBuffers和Fuchsia等项目的主要维护者,而OSSVRP的推出旨在奖励那些可能对更大的开源领域产生重大影响的错误发现。由Google管理并托管在GitHub等公共存储库中的其他项目,以及这些项目中包含的第三方依赖项也符合条件。白帽黑客提交的漏洞满足以下要求:导致供应链受损的漏洞;导致产品漏洞的设计问题;其他安全问题,例如敏感或泄露的凭据、弱密码或不安全的安装。随着针对Maven、NPM、PyPI和RubyGems的供应链攻击升级,加固开源组件,尤其是作为许多软件构建块的第三方库,已成为当务之急。供应链攻击(图片来源:Sonatype)2021年12月爆发的Log4jJava日志库中的Log4Shell漏洞就是一个典型例子,它造成了相当广泛的破坏,成为改善软件供应链状态的号角。谷歌FrancisPerron和KrzysztofKotowicz表示:“去年针对开源供应链的攻击同比增加了650%,其中包括Codecov和Log4j漏洞,这些事件显示了单个开源漏洞的破坏潜力。”开源软件漏洞奖励计划是谷歌继2021年11月推出Linux内核提权和Kubernetes逃逸漏洞奖励计划后,又一重要的漏洞奖励机制。参考来源:https://thehackernews.com/2022/08/google-launches-new-open-source-bug.html
