Google amplia ancora le ricompense per chi trova falle di sicurezza

Google ha annunciato un'espansione molto significativa della sua iniziativa VRP (Vulnerability Rewards Program), in cui vengono ricompensati con denaro coloro che scovano falle e bug di sicurezza: ora coinvolge anche tutti i progetti open-source. Tra questi, vale la pena ricordare, ci sono software come Chrome, Chrome OS, Android stesso, Fuchsia, Kubernetes, Flutter e moltissimi altri ancora; alcuni di questi, come Chrome/Chrome OS e Android, avevano già un programma bug bounty dedicato.

La decisione di Google è motivata da un massiccio incremento dell'interesse degli hacker nel software open-source, che viene usato sempre di più come vettore di attacco. Secondo uno studio citato dalla società stessa, gli attacchi a software basato su codice open sono incrementati di ben il 650% nel 2021 rispetto al 2020. L'iniziativa si estenderà a tutti i progetti open-source attualmente in corso di sviluppo caricati su repository pubbliche e a tutte le relative dipendenze, anche se di terze parti.

Android 04 Feb

Le ricompense, come sempre, varieranno sia in base alla criticità/gravità della falla sia all'importanza del progetto. Le cifre più cospicue saranno quindi versate nei software più ad alto profilo, tra cui viene citato espressamente Fuchsia. La ricompensa minima è di 100 dollari, la massima è di ben 31.337 dollari. Non stupisce, se si conosce la natura del sistema operativo: scritto completamente da zero solo e soltanto con tecnologie Google (anche se open-source), senza dipendere da codice esterno (per esempio Android è basato su Linux) e con l'obiettivo di universalità, sostituendo gli OS di qualsiasi dispositivo dai gadget IoT ai server passando per smartphone e laptop. Per ora Fuchsia è in distribuzione su alcuni modelli di smart display della famiglia Nest Hub.

Per Google il sistema di bug bounty è un aiuto prezioso a garantire la massima sicurezza dei suoi prodotti. Secondo i dati ufficiali, nel solo 2021 ha pagato un totale di 8,7 milioni di dollari. Un bell'incremento rispetto ai 6,7 milioni del 2020.