Language
구글은 열려있다

블로그

홈페이지홈페이지 / 블로그 / 구글은 열려있다
search

Oct 22, 2023

유럽 ​​10대 EV 충전 회사

Sep 02, 2023

Jeep Wrangler 4xe에 대해 알아야 할 10가지 사항

Aug 10, 2023

아이를 안전하게 보호하는 최고의 유아용 침대 레일 및 범퍼 17가지

Jan 07, 2024

아이를 안전하게 보호하는 최고의 유아용 침대 레일 및 범퍼 17가지

Nov 02, 2023

2023년에 개를 안전하게 보호할 수 있는 최고의 개 게이트 18개

문의 보내기
제출하다

Sep 22, 2023

구글은 열려있다

작성자: Mitchell Clark Google은 다음과 같은 새로운 취약점 보상 프로그램을 도입했습니다.

미첼 클라크

Google은 오픈 소스 소프트웨어나 소프트웨어가 구축된 구성 요소에서 보안 결함을 발견한 연구원에게 보상을 제공하기 위해 새로운 취약점 보상 프로그램을 도입했습니다. Angular, GoLang, Fuchsia와 같은 프로젝트의 버그에 대한 정보나 해당 프로젝트의 코드베이스에 포함된 타사 종속성의 취약점에 대한 정보는 101달러에서 31,337달러까지 지불됩니다.

Google이 자체 프로젝트(및 프로그램에서 다루는 코드 변경 사항을 추적하는 데 사용하는 소프트웨어)에서 버그를 수정하는 것이 중요하지만 아마도 가장 흥미로운 부분은 타사 종속성에 관한 부분일 것입니다. 프로그래머는 오픈 소스 프로젝트의 코드를 자주 사용하므로 동일한 휠을 지속적으로 재발명할 필요가 없습니다. 그러나 개발자는 해당 코드와 업데이트를 직접 가져오는 경우가 많기 때문에 공급망 공격의 가능성이 있습니다. 해커가 Google 자체에서 직접 제어하는 ​​코드를 표적으로 삼지 않고 대신 이러한 타사 종속성을 추적하는 경우입니다.

오픈 소스 라이브러리는 때때로 대규모 프로젝트의 트로이 목마로 사용될 수 있습니다.

SolarWinds가 보여준 것처럼 이러한 유형의 공격은 오픈 소스 프로젝트에만 국한되지 않습니다. 그러나 지난 몇 년 동안 우리는 대기업이 종속성으로 인해 보안을 위험에 빠뜨린 여러 사례를 보았습니다. 이러한 종류의 공격 벡터를 완화할 수 있는 방법이 있습니다. Google 자체는 인기 있는 오픈 소스 프로그램의 하위 집합을 조사하고 배포하기 시작했지만 프로젝트에서 사용하는 모든 코드를 확인하는 것은 거의 불가능합니다. 커뮤니티가 종속성 및 자사 코드를 확인하도록 장려하면 Google이 더 넓은 범위의 네트워크를 구축하는 데 도움이 됩니다.

Google의 규칙에 따르면 오픈 소스 소프트웨어 취약점 보상 프로그램의 지급은 버그의 심각도와 버그가 발견된 프로젝트의 중요성에 따라 달라집니다. Fuchsia 등은 "플래그십" 프로젝트로 간주되므로 가장 큰 지불금). 공급망 취약점에 대한 포상금에 대한 몇 가지 추가 규칙도 있습니다. 연구원은 Google에 알리기 전에 실제로 제3자 프로젝트를 담당하는 사람에게 먼저 알려야 합니다. 또한 해당 문제가 Google 프로젝트에 영향을 미친다는 사실도 입증해야 합니다. 회사에서 사용하지 않는 라이브러리의 일부에 버그가 있는 경우 프로그램 대상에서 제외됩니다.

"이제 연구자들은 전체 오픈 소스 생태계에 잠재적으로 영향을 미칠 수 있는 버그를 찾아 보상을 받을 수 있습니다."

구글은 또한 오픈소스 프로젝트에 사용하는 제3자 서비스나 플랫폼을 사람들이 엿보는 것을 원하지 않는다고 밝혔습니다. GitHub 리포지토리 구성 방식에 문제가 있는 경우 괜찮습니다. GitHub의 로그인 시스템에서 문제를 발견하면 해당 문제는 다루어지지 않습니다. (구글은 사람들이 "다른 사용자나 회사에 속한 자산에 대한 보안 조사를 대신 수행"하도록 권한을 부여할 수 없다고 말합니다.)

돈에 의욕이 없는 연구자들을 위해 Google은 연구자가 선택한 자선 단체에 보상금을 기부하겠다고 제안합니다. 심지어 회사에서는 기부금을 두 배로 늘릴 것이라고까지 말합니다.

분명히 이것은 Google이 버그 보상금을 지급한 첫 번째 사례는 아닙니다. Google은 10년 넘게 어떤 형태로든 취약점 보상 프로그램을 진행해 왔습니다. 하지만 회사가 경각심을 불러일으켰던 문제에 대해 조치를 취하는 것을 보는 것은 좋은 일입니다. 올해 초, 인기 있는 오픈 소스 Log4j 라이브러리에서 Log4Shell 익스플로잇이 발견된 이후 Google은 미국 정부가 중요한 오픈 소스 프로젝트의 보안 문제를 찾아 처리하는 데 더 많이 개입해야 한다고 말했습니다. 그 이후로 BleepingComputer가 지적했듯이 회사는 Kubernetes 및 Linux 커널과 같은 특정 오픈 소스 프로젝트에서 버그를 발견한 사람들에 대한 보상을 일시적으로 인상했습니다.

/ Verge Deals에 가입하시면 우리가 테스트한 제품에 대한 특가를 매일 받은 편지함으로 보내드립니다.