Google, Projeleri Daha Güvenli Hale Getirmek için Geliştiricilere Ödeme Yapacak

Teknoloji şirketlerinin farklı aşamalardaki siber güvenlik adımları hız kesmeden devam ediyor. Bu kapsamda Google, kritik öneme sahip açık kaynaklı yazılım projelerinin güvenliğini daha fazla artırmak amacıyla Linux Vakfı tarafından yönetilen The Secure Open Source Rewards pilot programına sponsor olduğunu duyurdu. Teknoloji şirketinin söz konusu yatırımı bir hata ödülü (bug bounty olarak da bilinir) yerine, iyileştirmeler yoluyla potansiyel güvenlik sorunlarını risk haline gelmeden önce çözmeyi esas alıyor. Bu amaç, Google’ın kamuoyuna yönelik bilgilendirme metinlerinde yoğun şekilde vurgulanıyor.

Linux Vakfı tarafından yürütülen SOS programının amacı pek çok işletme tarafından kullanılan ve ‘kritik’ olarak kabul edilen açık kaynaklı yazılım projelerinin güvenliğini artırabilmek için projeyi yöneten geliştiricileri finansal olarak desteklemek. Google da bu kapsamda gerçekleştirilecek ödemeleri finanse edilebilmesi için 1 milyon dolarlık önemli bir bağışta bulundu.

Google’ın ilgili blog gönderisinde kamuoyuyla paylaşılan bilgilere göre, ödüller şu şekilde verilecek: büyük güvenlik açıklarını neredeyse kesinlikle önleyen karmaşık, yüksek etkili ve kalıcı iyileştirmeler için 10 bin dolar ve üzeri, zorlayıcı güvenlik avantajları sunan orta derecede karmaşık iyileştirmeler için 5-10 bin dolar arası, daha basit derecede karmaşık iyileştirmeler için ise 1-5 bin dolar arası ve güvenlik açısından değeri çok küçük maiyetteki iyileştirmeler için 505 dolar ödenecek.

Yenilikçi adımlar…

Google Açık Kaynak Güvenlik Ekibi konu ile ilgili “1 milyon dolarlık bir yatırımla başlıyoruz ve programın kapsamını topluluk geri bildirimlerine dayanarak genişletmeyi planlıyoruz” şeklinde açıklama yaptı.

Program, kritik açık kaynak projelerini proaktif olarak sağlamlaştıran projelerin yanı sıra uygulama ve tedarik zinciri saldırılarına karşı altyapıyı desteklemeyi amaçlıyor.

Yazılım tedarik zincirleri, ABD devlet kurumlarına ve teknoloji firmalarına yönelik kurumsal yazılım firması SolarWinds siber saldırısının ardından güçlü bir odak halini aldı.

SolarWinds ilk tedarik zinciri saldırısı değil elbette. SolarWinds’n arkasında olduğu iddia edilen ülke tarafından desteklenen siber korsanlarının 2017 yılındaki fidye yazılımı saldırısı NotPetya, başka bir örnek olarak akla geliyor.

Avrupa Ağ ve Bilgi Güvenliği Ajansı ENISA da yazılım tedarik zinciri saldırılarından endişe duyarak şirketleri yazılım tedarikçilerini incelemeye, risklerini tanımlamaya ve yazılım tedarik zincirlerini yakından izlemeye davet ediyor.

Finansman konusu

Açık kaynaklı yazılım, Google’ın SOS aracılığıyla ele almaya çalıştığı başka bir zorluk sunuyor: Büyük ölçüde gönüllülük temelinde yürütülen yazılım projeleri için finansman açığı. Başka bir deyişle, bu projelerin güvenliği sağlamak için paraya ihtiyacı var.

Google konu ile ilgili, “SOS programı, büyüyen bir gerçeği ele almak için daha geniş bir çabanın parçası. Dünya açık kaynaklı yazılımlara güveniyor, ancak bu yazılımı güvenli tutmak için yaygın destek ve finansal katkılar gerekiyor. SOS pilot programını, umutla diğer büyük kuruluşları bir araya getirecek ve onu OpenSSF altında sürdürülebilir, uzun vadeli bir girişime dönüştürecek çabalar için başlangıç noktası olarak görüyoruz” şeklinde bir açıklama paylaştı.

Google ve OpenSSF bu yılın başlarında, yazılımı otomatik olarak kontrol eden OpenSSF güvenlik puan kartlarının lansmanı ile bu hedefi destekleyen bir işe imza atmıştı. Bu girişim, risk puanı aracılığıyla, bir projenin tedarik zincirindeki paketleri değiştirirken geliştiricilerin güvenliği değerlendirmesine yardımcı olarak, güvenli yazılım yapma maliyetini düşürmeyi ve öncelikler arasına almayı esas alıyor.

SOS ödülleri için tüm yeni ödül gönderimleri, Linux Vakfı ve Google Açık Kaynak Güvenlik Ekibi (GOSST) tarafından değerlendiriliyor. Ancak proje ekibi bunun bir hata ödülü olmadığını vurguluyor. SOS sayfasında, “Bu bir hata ödül programı değildir ve belirli proje güvenlik açıklarının raporlarını ödüllendirmez. Bir projede bulunan tüm güvenlik açıkları, bu program aracılığıyla değil, projenin güvenlik açıklama politikasına göre bildirilmelidir” diyor.