隨著供應(yīng)鏈攻擊威脅與日俱增，全球巨頭紛紛出臺(tái)各種措施，以降低供應(yīng)鏈攻擊帶來的威脅。2022年5月，谷歌就成立樂一個(gè)新的“開源維護(hù)團(tuán)隊(duì)”，專注于加強(qiáng)關(guān)鍵開源項(xiàng)目的安全性。

8月29日，谷歌再次出臺(tái)新的舉措，推出了開源軟件漏洞獎(jiǎng)勵(lì)計(jì)劃 (OSS VRP)，是首批特定于開源的漏洞計(jì)劃之一。獎(jiǎng)勵(lì)金額從100 美元到 31337 美元（約合人民幣21萬+）不等，以保護(hù)生態(tài)系統(tǒng)免受供應(yīng)鏈攻擊。

眾所周知，谷歌是Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia 等項(xiàng)目的主要維護(hù)者，推出OSS VRP旨在獎(jiǎng)勵(lì)那些可能對(duì)更大的開源領(lǐng)域產(chǎn)生重大影響的漏洞發(fā)現(xiàn)。由 Google 管理并托管在 GitHub 等公共存儲(chǔ)庫上的其他項(xiàng)目，以及這些項(xiàng)目中包含的第三方依賴項(xiàng)也符合條件。

白帽黑客提交的漏洞需滿足以下要求：

• 導(dǎo)致供應(yīng)鏈?zhǔn)軗p的漏洞；
• 導(dǎo)致產(chǎn)品漏洞的設(shè)計(jì)問題；
• 其他安全問題，例如敏感或泄露的憑據(jù)、弱密碼或不安全的安裝。

隨著針對(duì) Maven、NPM、PyPI 和 RubyGems 的供應(yīng)鏈攻擊不斷升級(jí)，加強(qiáng)開源組件，特別是作為許多軟件構(gòu)建塊的第三方庫，已成為當(dāng)務(wù)之急。

供應(yīng)鏈攻擊（圖片來源：Sonatype）

2021年12月爆發(fā)的 Log4j Java 日志庫中的Log4Shell漏洞就是一個(gè)典型例子，它造成了相當(dāng)廣泛的破壞，并成為改善軟件供應(yīng)鏈狀態(tài)的號(hào)角。

谷歌Francis Perron 和 Krzysztof Kotowicz 表示：“去年，針對(duì)開源供應(yīng)鏈的攻擊同比增長了650%，包括Codecov和 Log4j 漏洞等在內(nèi)，這些事件顯示了單個(gè)開源漏洞的破壞性潛力”。

開源軟件漏洞獎(jiǎng)勵(lì)計(jì)劃是繼谷歌2021年11月推出的Linux內(nèi)核特權(quán)升級(jí)和Kubernetes逃逸漏洞獎(jiǎng)勵(lì)計(jì)劃，而制定的又一重要漏洞獎(jiǎng)勵(lì)機(jī)制。

參考來源：https://thehackernews.com/2022/08/google-launches-new-open-source-bug.html