Googleは米国時間8月30日、オープンソースソフトウェアに対象を絞ったバグ報奨金プログラム「Open Source Software Vulnerability Rewards Program」(OSS VRP)を新たに立ち上げたと同社ブログで発表した。報奨金は、発見された脆弱性の深刻度に応じて約100ドル(約1万4000円)から3万1000ドル(約430万円)が支払われる。
提供:Shutterstock
この新プログラムは、ソフトウェアコミュニティーが直面している大きな問題、すなわち急増しているサプライチェーンのセキュリティ侵害に取り組むものだ。Googleは、ソフトウェア企業Sonatypeのレポートを引用し、オープンソースのサプライチェーンを標的とする攻撃が2021年に前年同期比650%増になったと記している。2021年12月に発見された「Apache Log4j」の深刻な脆弱性のように、たった1つの脆弱性であっても甚大な被害がもたらされかねない。
同プログラムはバグハンターらに対し、GitHub上でGoogleが所有しているプロジェクト(GoogleやGoogleAPIs、GoogleCloudPlatformなど)のパブリックリポジトリー内に保管されているオープンソースソフトウェア(リポジトリー設定を含む)の最新バージョンに潜む問題を探し出すよう促している。また同プログラムは、これらのプロジェクトのサードパーティーに対する依存性も対象とするという。
高額の報奨金は、Googleがメンテナーとなっている「Bazel」や「Angular」「Golang」「Protocol Buffers」「Fuchsia」といった、重要性の極めて高いプロジェクトの脆弱性を発見した人に与えられる。また同社は、製品の脆弱性につながる設計上の欠陥や、認証情報の流出のようなセキュリティ上の懸念を含む、サプライチェーンに大きな影響を与える可能性がある問題を見つけ出すよう、バグハンターらに奨励している。
報奨金は、脆弱性の深刻度とプロジェクトの重要性に従って、101ドル(約1万4000円)〜3万1337ドル(約434万円)となっている。Googleは同ブログに「めったに見かけないほど巧妙、あるいは深刻な脆弱性に対しても、より多くの報奨金が支払われる」と記している。
OSS VRPの報奨金は、Googleが米国のサイバーセキュリティ分野に対して支払う100億ドル(約1兆3800億円)の中から賄われる。Googleによるこの資金供与の約束は、2021年のホワイトハウスでの会談でJoe Biden大統領が、オープンソースソフトウェアの潜在的脆弱性は国家安全保障上の懸念であると強調したことを受けたものだ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。