Google ha introdotto un nuovo concorso a premi per risolvere alcuni problemi di vulnerabilità: pagherà i ricercatori che trovano difetti di sicurezza nel suo software open source o negli elementi costitutivi del suo software. I premi andranno dai 101 dollari fino a salire ad un totale di 31.337 dollari per informazioni sui bug in progetti come Angular, GoLang e Fuchsia o per vulnerabilità nelle dipendenze di terze parti incluse nel codice.
Sebbene sia importante per Google correggere i bug nei propri progetti (e nel software che utilizza per tenere traccia delle modifiche al suo codice), forse la parte più interessante è la parte sulle dipendenze di terze parti.
Il problema sono le dipendenze di terze parti
I programmatori utilizzano spesso il codice di progetti open source in modo da non dover reinventare continuamente il progetto con un codice nuovo. Ma dal momento che gli sviluppatori spesso importano direttamente il codice, così come tutti i suoi aggiornamenti, ciò introduce la possibilità di attacchi che mirano proprio ad alcune di quelle falle.
Ed è proprio per questo che gli hacker non prendono di mira il codice controllato direttamente da Google stesso, ma cercano invece queste dipendenze di terze parti. Le librerie open source a volte possono essere utilizzate come cavallo di Troia in progetti più grandi.
Come ha mostrato SolarWinds, questo tipo di attacco non si limita ai progetti open source. Ma negli ultimi anni abbiamo assistito a diverse storie in cui le grandi aziende hanno messo a rischio la propria sicurezza a causa del codice di terze parti. Esistono modi per mitigare questo tipo di attacco: Google stesso ha iniziato a controllare e distribuire un sottoinsieme di programmi open source popolari, ma è quasi impossibile controllare tutto il codice utilizzato da un progetto. Incentivare la community a controllare le dipendenze e il codice proprietario aiuta Google a creare una rete più ampia potrebbe essere una soluzione.