Google запустила новую программу, которая будет выплачивать вознаграждение за ошибки, обнаруженные в ее проектах с открытым исходным кодом.
Программа вознаграждений за уязвимости программного обеспечения с открытым исходным кодом (откроется в новой вкладке) (OSS VRP) является последним дополнением к существующим VRP технологического гиганта, предлагающим деньги за открытия.
Компания заявляет, что ее первый VRP, предназначенный для тех, кто помог защитить код Google, был одним из первых в мире. Уже второе десятилетие своего существования Google стремится подчеркнуть свою приверженность поддержке исследователей безопасности и охотников за ошибками.
Ошибки Google OSS
Google заявляет, что VRP охватывают различные коды Chrome и Android в рамках более широкой деятельности компании, в результате чего более 38 миллионов долларов было выплачено более чем 13 000 вкладов из 84 стран.
Кроме того, Google обязалась инвестировать 10 миллиардов долларов в улучшение кибербезопасности среди своих пользователей и потребителей программного обеспечения с открытым исходным кодом.
Google называет Codecov и Log4j двумя наиболее известными инцидентами, которые способствовали увеличению в прошлом году на 650% по сравнению с прошлым годом числа атак, нацеленных на цепочку поставок OSS.
Google Блог безопасности (откроется в новой вкладке) говорит, что OSS VRP фокусируется на «всех последних версиях» OSS, хранящихся в принадлежащих Google организационных пространствах GitHub, таких как GoogleAPI и GoogleCloudPlatform, хотя «высшие награды» зарезервированы для наиболее важных проектов, которые устанавливает Google. будут Bazel, Angular, Golang, буферы протокола и Fuchsia; список, который, как ожидается, расширится после первоначального развертывания программы.
Цели для любых охотников включают: «уязвимости, которые приводят к компрометации цепочки поставок; проблемы дизайна, вызывающие уязвимости продукта; [and] другие проблемы безопасности, такие как конфиденциальные или утечка учетных данных, слабые пароли или небезопасные установки».
Вознаграждение варьируется от ничтожных 100 долларов до солидных 31 337 долларов, в зависимости от серьезности обнаруженной уязвимости, однако любые обнаруженные применимые ошибки, которые не относятся конкретно к этой VRP, не должны быть потрачены впустую, а Google обещает перенаправить любые результаты соответствующим VRP (и горшок с наличными).
