隨著供應鏈攻擊威脅與日俱增，全球巨頭紛紛出臺各種措施，以降低供應鏈攻擊帶來的威脅。2022年5月，谷歌就成立樂一個新的“開源維護團隊”，專注于加強關鍵開源項目的安全性。

8月29日，谷歌再次出臺新的舉措，推出了開源軟件漏洞獎勵計劃 (OSS VRP)，是首批特定于開源的漏洞計劃之一。獎勵金額從100 美元到 31337 美元（約合人民幣21萬+）不等，以保護生態系統免受供應鏈攻擊。

眾所周知，谷歌是Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia 等項目的主要維護者，推出OSS VRP旨在獎勵那些可能對更大的開源領域產生重大影響的漏洞發現。由 Google 管理并托管在 GitHub 等公共存儲庫上的其他項目，以及這些項目中包含的第三方依賴項也符合條件。

白帽黑客提交的漏洞需滿足以下要求：

• 導致供應鏈受損的漏洞；
• 導致產品漏洞的設計問題；
• 其他安全問題，例如敏感或泄露的憑據、弱密碼或不安全的安裝。

隨著針對 Maven、NPM、PyPI 和 RubyGems 的供應鏈攻擊不斷升級，加強開源組件，特別是作為許多軟件構建塊的第三方庫，已成為當務之急。

供應鏈攻擊（圖片來源：Sonatype）

2021年12月爆發的 Log4j Java 日志庫中的Log4Shell漏洞就是一個典型例子，它造成了相當廣泛的破壞，并成為改善軟件供應鏈狀態的號角。

谷歌Francis Perron 和 Krzysztof Kotowicz 表示：“去年，針對開源供應鏈的攻擊同比增長了650%，包括Codecov和 Log4j 漏洞等在內，這些事件顯示了單個開源漏洞的破壞性潛力”。

開源軟件漏洞獎勵計劃是繼谷歌2021年11月推出的Linux內核特權升級和Kubernetes逃逸漏洞獎勵計劃，而制定的又一重要漏洞獎勵機制。

參考來源：https://thehackernews.com/2022/08/google-launches-new-open-source-bug.html