Das sogenannte Open Source Software Vulnerability Rewards Program (OSS VRP) wurde von Google gestartet: Im Rahmen des Programms sollen Sicherheitsforscher verschiedene Open-Source-Projekte auf Sicherheitslücken überprüfen. Neben etwa Golang und Angular sollen auch Tools von Drittanbietern abgedeckt werden. Als Belohnung für gefundene Sicherheitslücken stelle Google bis zu knapp 31.000 US-Dollar in Aussicht.

Einem Beitrag von Google zufolge soll das OSS VRP insbesondere gegen Lieferketten-Angriffe, wie es beispielsweise bei der Log4Shell-Lücke in der Java-Bibliothek Log4j der Fall war, vorgehen. Die Zahl der Lieferketten-Angriffe sei laut Sonatype 2021 um 650 Prozent gestiegen.

Wichtige Fakten und Regeln zum Programm fasst Google auf einer Unterseite zusammen. Sicherheitsforscher sollen neben Software in den Repositorys des Unternehmens auch Abhängigkeiten von Drittanbietern überprüfen. Bevor Lücken in solchen Abhängigkeiten an Google gemeldet werden, sollen Teilnehmer des Programms sie an die jeweils Verantwortlichen melden, damit diese Patches entwickeln können.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE