Google がバグバウンティを刷新:オープンソース・プロジェクトも取り込んでいく

A new Google bug bounty program now covers Open Source projects

2022/08/30 SecurityAffairs — Google は、同社のプロジェクトをカバーしてきた Open Source Software Vulnerability Rewards Program (OSS VRP) の一環として、新たなバグバウンティ・プログラムを開始した。このプログラムでは、Google のプロジェクトに存在する脆弱性に対して、最大 $31,337 〜 最低 $100 の報酬額が支払われるという。

Google は、オープンソースにおける最大級のコントリビュータであり、ユーザーでもある。そして、周知のとおり、Bazel/Angular/Golang/Protocol buffers/Fuchsia などの、人気のプロジェクトを維持している。

同社はアナウンスメントで、「脆弱性報奨プログラム (VRP:Vulnerability Reward Program) に OSS VRP を加えることで、オープンソース・エコシステム全体に影響を与えると思われる、バグを発見した研究者に対しても、報奨金が支払われるようになった」と発表している。

Google は、オリジナルの VRP を 12年前に立ち上げ、その後に Chrome ブラウザや Android OS などの製品/サービスも対象に加えてきた。これまでに Google は、13,000 件以上のバグ報告に対して、総額 $38M 以上の報奨金を支払っている。

新しいバグバウンティ・プログラムの目的は、同社のオープンソースで使用されているコードの安全性の確保と、サプライチェーン攻撃で高まるリスクの低減である。

Google は、「オープンソースのサプライチェーンを標的とする攻撃が、2020年〜2021年で 650% も増加した。そこには、Codecov/ Log4Shell などの、単一のオープンソースの脆弱性が破壊的な結果をもたらすという、深刻なインシデントも含まれている。Google の OSS VRP は、世界中の Google ユーザーと、オープンソース利用者に対して、この種のサプライチェーン攻撃からの保護を推進していく。それは、サイバーセキュリティを改善するための、$10B 予算の取り組みの一部である」と述べている。

このプログラムは、Google が所有する GitHub Organizations (GoogleGoogleAPIsGoogleCloudPlatform など) のパブリック・リポジトリに格納されている、オープンソース・ソフトウェアの全ての最新バージョンに焦点を当てている。

また、それらのプロジェクトにおける、サードパーティ依存関係も対象としている。ただし、影響を受ける依存関係について研究者たちは、事前に通知を送る必要があると、Google は付け加えている。

Google は、ホワイトハット・ハッカーやバグハンターたちに対して、サプライチェーンの侵害や、設計上の問題、セキュリティ上の問題つながる、脆弱性に関する情報の提出を推奨している。 具体的に言うと、機密性の高い認証情報の漏えい/脆弱なパスワード/安全ではないインストールなども、そこには含まれる。

Google のバグバウンティが刷新されるとのことですが、報奨金で最大 $31,337 〜 最低 $100 という幅をとっている点が良いですね。2022年7月30日の「バグバウンティ・プログラム市場の需要と供給:誰もが幸せになれない現状を考える」は、Black Hat USA で講演した、Luta Security の CEO である Katie Moussouris さんの発言をマトメたものです。そこで、彼女は、「Uber や Lyft の仕事よりもひどい。なぜなら、Uber や Lyft では、仕事をするたびに報酬を得られるが、バグバウンティ・ハンターの場合、バグを見つけるたびに報酬が得られるわけではない」と述べています。たとえ少額であっても、Google が気前よく報奨金を払ってくれて、ハンターたちの生活を支えてくれたら良いなぁと願っています。よろしければ、カテゴリ BugBounty も、ご利用ください。

%d bloggers like this: