グーグル、バグ報奨金プログラムを新設–オープンソースソフトウェアを対象

今回は「グーグル、バグ報奨金プログラムを新設–オープンソースソフトウェアを対象」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは米国時間8月30日、オープンソースソフトウェアに対象を絞ったバグ報奨金プログラム「Open Source Software Vulnerability Rewards Program」(OSS VRP)を新たに立ち上げたと同社ブログで発表した。報奨金は、発見された脆弱性の深刻度に応じて約100ドル(約1万4000円)から3万1000ドル(約430万円)が支払われる。

 この新プログラムは、ソフトウェアコミュニティーが直面している大きな問題、すなわち急増しているサプライチェーンのセキュリティ侵害に取り組むものだ。Googleは、ソフトウェア企業Sonatypeのレポートを引用し、オープンソースのサプライチェーンを標的とする攻撃が2021年に前年同期比650%増になったと記している。2021年12月に発見された「Apache Log4j」の深刻な脆弱性のように、たった1つの脆弱性であっても甚大な被害がもたらされかねない。

 同プログラムはバグハンターらに対し、GitHub上でGoogleが所有しているプロジェクト(GoogleやGoogleAPIs、GoogleCloudPlatformなど)のパブリックリポジトリー内に保管されているオープンソースソフトウェア(リポジトリー設定を含む)の最新バージョンに潜む問題を探し出すよう促している。また同プログラムは、これらのプロジェクトのサードパーティーに対する依存性も対象とするという。

 高額の報奨金は、Googleがメンテナーとなっている「Bazel」や「Angular」「Golang」「Protocol Buffers」「Fuchsia」といった、重要性の極めて高いプロジェクトの脆弱性を発見した人に与えられる。また同社は、製品の脆弱性につながる設計上の欠陥や、認証情報の流出のようなセキュリティ上の懸念を含む、サプライチェーンに大きな影響を与える可能性がある問題を見つけ出すよう、バグハンターらに奨励している。

 報奨金は、脆弱性の深刻度とプロジェクトの重要性に従って、101ドル(約1万4000円)〜3万1337ドル(約434万円)となっている。Googleは同ブログに「めったに見かけないほど巧妙、あるいは深刻な脆弱性に対しても、より多くの報奨金が支払われる」と記している。

 OSS VRPの報奨金は、Googleが米国のサイバーセキュリティ分野に対して支払う100億ドル(約1兆3800億円)の中から賄われる。Googleによるこの資金供与の約束は、2021年のホワイトハウスでの会談でJoe Biden大統領が、オープンソースソフトウェアの潜在的脆弱性は国家安全保障上の懸念であると強調したことを受けたものだ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「iPhone」で「Apple IDのセキュリティキー」を設定するには–手順と注意点
IT関連
2023-02-05 23:09
コロナワクチン接種、マイナンバーで管理 平井大臣が提案 「今回使わなくて、いつ使うのか」
企業・業界動向
2021-01-20 17:16
日本は「ゼロトラストセキュリティ」の採用に積極的–タレス調査
IT関連
2021-06-23 12:07
Google、新型コロナワクチンの公平で迅速な接種を目指し1億5000万ドル提供他、多角的取り組みを発表
企業・業界動向
2021-01-27 14:25
ブロックチェーンを利用して従来の美術品の所有権管理も行うLobusが6.5億円調達
ブロックチェーン
2021-04-30 06:56
満足度は高いプログラミング言語「Go」–一部機能の不足に不満も
IT関連
2021-05-08 12:15
「ミスターミニット」、グローバルでの連結経営管理にSaaSを導入
IT関連
2021-02-10 02:17
高配当利回り株で資産形成:次の景気後退はいつか?どう乗り切るか?(その1)
IT関連
2021-06-30 00:35
「freee人事労務」、通勤手当の計算機能を強化–出社回数に応じた手当支給が可能に
IT関連
2023-11-18 00:13
米政府機関が警告、ウクライナを標的にしているワイパー型マルウェアは他国にも飛び火する可能性
IT関連
2022-03-02 20:49
ストラタステクノロジー、可用性99.99999%の新型無停止サーバーを発表
IT関連
2023-11-04 02:26
水素関連株に改めて注目:参考銘柄と投資戦略
IT関連
2021-08-03 04:01
欧州のAI規則案について知っておきたいこと
IT関連
2022-06-02 20:03
セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由
IT関連
2022-07-02 14:38