Googleは8月30日(米国時間)、「Google Online Security Blog: Announcing Google’s Open Source Software Vulnerability Rewards Program」において、「Open Source Software Vulnerability Reward Program」を開始すると伝えた。このプログラムには、オープンソースソフトウェア(OSS)における脆弱性の発見を進めるほか、サプライチェーンを標的としたサイバー攻撃へ対処していく狙いがあるとされている。
Googleは、ChromeやAndroidを含めすでにさまざまなソフトウェアを対象としたバグ報奨金プログラムを実施している。こうした取り組みはソフトウェアのバグ発見を促進し、緊急に分類されるようなリスクの高い脆弱性の発見を促進できると考えられている。実際、Googleはこうした取り組みを通じて多くの不具合や脆弱性の修正を行ってきた。
新型コロナウイルス感染症(COVID‑19)インシデントが影響を与える中、サプライチェーンを標的としたサイバー攻撃は深刻度を増してきた。OSSがこうしたサイバー攻撃の発端となったこともあり、Googleの今回の取り組みにはこうした潜在的なリスクを回避する狙いがある。
今回の発表で対象となるのはGoogleがGitHubにおいて所有しているリポジトリで開発されているソフトウェアの最新バージョン、および、そのプロジェクトが依存しているサードパーティ製ソフトウェアとされている。当初はBazel、Angular、Golang、Protocol buffers、Fuchsiaが高額報奨金の対象とされているものの、対象は今後拡大されることが予定されている。
OSSは現代のソフトウェア開発において必要不可欠な要素となっており、OSSの脆弱性がもたらすリスクも高い状態にある。Googleの今回の取り組みがどの程度の効果をもたらすのか、今後の進展が注目される。