Google looft 'bounties' uit voor lekken in open source

Het meest valt te verdienen met het vinden van beveiligingslekken in cruciale projecten waar Google zelf bij betrokken is. Denk dan aan Bazel, Angular, Golang, Protocol buffers en Fuchsia. Maar Google wil dat de onderzoekers hun aandacht vooral richten op kwetsbaarheden met de grootste gevolgen voor de hele toeleveringsketen. Denk daarbij aan ontwerpfouten die het mogelijk maken in eindproducten bijvoorbeeld inloggegevens buit te maken. "Creativiteit wordt aangemoedigd", zegt Google in een blog die door ZDNet werd opgepikt.

Het nieuwe programma heet Open Source Software Vulnerability Rewards Program (OSS VRP) en is onderdeel van een pakket van 10 miljard dollar dat Google heeft beloofd te investeren in de cybersecurity, in principe in de VS maar de rest van de wereld profiteert ook van deze acties.

Google zegt met dit programma vooral de aandacht te willen richten op de problematiek van de toeleveringsketen. In de blog noemt het bedrijf een onderzoek van softwarebedrijf Sonatype dat de aanvallen op de opensource-toeleveringsketen in een jaar maar liefst een factor 6,5 zijn toegenomen. Een voorbeeld is een enkelvoudige kwetsbaarheid zoals Log4j die wereldwijd chaos heeft veroorzaakt.