谷歌开源软件漏洞奖励计划及其影响

关键要点

• 谷歌推出了开源软件漏洞奖励计划（OSS VRP），旨在提升开源软件的安全性。
• Legit Security 报告了在 Google 和 Apache 的开源项目中存在的软件供应链攻击漏洞。
• 针对新发现的“GitHub 环境注入”漏洞，谷歌和 Apache 已迅速做出响应并修复。
• 开源软件的透明度有助于迅速检测并修复安全漏洞，推动了整体生态系统的安全性。

近日，工业界正式将注意力集中在开源软件漏洞的防护上，旨在更有效地保护组织免受供应链攻击。

谷歌在宣布其开源软件漏洞奖励计划（）仅两天后，LegitSecurity 周四报告了在谷歌和 Apache 的开源项目中存在的供应链攻击漏洞。

Legit Security 表示，他们并未推迟与谷歌的公告相关的新闻发布。

“谷歌的响应速度很快，一天就修复了问题，”Legit Security 的副总裁 Derick Townsend说：“我们可能在这个过程中的确参与了他们的测试，但两则公告的时机完全是巧合。”

在一篇中，Legit Security 的研究人员发现了一种新型的CI/CD漏洞，称为“”，该漏洞允许攻击者控制受影响项目的GitHub Actions CI/CD 管道。研究人员指出，任何 GitHub用户都可以利用该漏洞修改项目源代码、窃取机密信息、在组织内进行横向渗透，最终发起类似 SolarWinds 的供应链攻击。

Legit Security 表示，该漏洞是在 Google Firebase 项目以及 Apache 的一个非常流行的集成框架项目中发现的。谷歌和
Apache 在接到 Legit Security 的初步披露后，迅速确认并修复了这些漏洞。

Synopsys 软件安全集团的 Black Duck 审计业务总经理 Philip Odence 表示，Legit Security采取了合乎道德的披露过程，确保在漏洞公开之前有补丁可用。

“这些案例提醒我们，尽管依赖开源软件是当今软件开发的实用必要，但企业在使用开源时应当注意安全，并根据最佳实践进行相应管理，”Odence 说。

网络安全顾问 Ryan Kennedy 表示，开源软件的优势在于可以让多个开发者共同审查代码。通过推出新的 OSS VRP漏洞奖励计划，谷歌邀请了漏洞奖励社区的安全研究人员来审查开源软件。

“谷歌利用其运营漏洞奖励计划的经验来帮助保障更广泛的开源生态系统，进而希望激励更多对开源软件的安全研究，”Kennedy表示。“总的来说，这对开源软件和供应链安全是一个积极的举措，为在这些领域进行诚意的安全研究提供了额外的激励。”

BluBracket 的产品及开发者赋能负责人 Casey Bisson补充道，保障开源软件的安全已变得至关重要，这在某些情况下对现实安全也有实际影响。Bisson表示，我们所看到的真正趋势是从完全内部构建转变为使用现成的组件。

“如今，这意味着结合云服务和开源软件，”Bisson解释道。“这一趋势是我们所见软件惊人增长的基础，而这种增长的规模正是供应链复杂性的来源。我们确实看到一些显著的开源漏洞，但转向开源有助于改善安全性。所有软件都有一些缺陷和安全漏洞，但开源软件额外的审查可以更快、更有效地识别和修复这些风险，相比封闭源解决方案更为高效。”