隨著供應(yīng)鏈攻擊威脅與日俱增，全球巨頭紛紛出臺各種措施，以降低供應(yīng)鏈攻擊帶來的威脅。2022年5月，谷歌就成立樂一個新的“開源維護(hù)團(tuán)隊”，專注于加強(qiáng)關(guān)鍵開源項目的安全性。

8月29日，谷歌再次出臺新的舉措，推出了開源軟件漏洞獎勵計劃 (OSS VRP)，是首批特定于開源的漏洞計劃之一。獎勵金額從100 美元到 31337 美元（約合人民幣21萬+）不等，以保護(hù)生態(tài)系統(tǒng)免受供應(yīng)鏈攻擊。

眾所周知，谷歌是Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia 等項目的主要維護(hù)者，推出OSS VRP旨在獎勵那些可能對更大的開源領(lǐng)域產(chǎn)生重大影響的漏洞發(fā)現(xiàn)。由 Google 管理并托管在 GitHub 等公共存儲庫上的其他項目，以及這些項目中包含的第三方依賴項也符合條件。

白帽黑客提交的漏洞需滿足以下要求：

• 導(dǎo)致供應(yīng)鏈?zhǔn)軗p的漏洞；
• 導(dǎo)致產(chǎn)品漏洞的設(shè)計問題；
• 其他安全問題，例如敏感或泄露的憑據(jù)、弱密碼或不安全的安裝。

隨著針對 Maven、NPM、PyPI 和 RubyGems 的供應(yīng)鏈攻擊不斷升級，加強(qiáng)開源組件，特別是作為許多軟件構(gòu)建塊的第三方庫，已成為當(dāng)務(wù)之急。

供應(yīng)鏈攻擊（圖片來源：Sonatype）

2021年12月爆發(fā)的 Log4j Java 日志庫中的Log4Shell漏洞就是一個典型例子，它造成了相當(dāng)廣泛的破壞，并成為改善軟件供應(yīng)鏈狀態(tài)的號角。

谷歌Francis Perron 和 Krzysztof Kotowicz 表示：“去年，針對開源供應(yīng)鏈的攻擊同比增長了650%，包括Codecov和 Log4j 漏洞等在內(nèi)，這些事件顯示了單個開源漏洞的破壞性潛力”。

開源軟件漏洞獎勵計劃是繼谷歌2021年11月推出的Linux內(nèi)核特權(quán)升級和Kubernetes逃逸漏洞獎勵計劃，而制定的又一重要漏洞獎勵機(jī)制。

參考來源：https://thehackernews.com/2022/08/google-launches-new-open-source-bug.html