Google разширява портфолиото си от програми за награди
Google потвърди ангажимента си към отворен код и го пусна нова програма в подкрепа на изследователи и ловци на сигурността на грешки, предлагащи парични награди всеки, който може да открие уязвимости в софтуерните проекти с отворен код, които ръководи.
Обявена е програмата за награди е най-новото допълнение към семейството на Google от програми за награди за уязвимост и се фокусира върху възнаграждаването на изследователите които намират грешки, които биха могли да навредят на някои от най-широко използваните проекти с отворен код в света.
Създадена, за да компенсира и да благодари на тези, които помагат да се направи кодът на Google по-сигурен, оригиналната VRP програма беше една от първите в света и сега наближава своята 12-та годишнина. С течение на времето нашата VRP гама се разшири, за да включва програми, фокусирани върху Chrome, Android и други области. Взети заедно, тези програми са възнаградили повече от 13 000 подавания, с общо изплащане от повече от $38 милиона.
Както мнозина ще знаят, Google носи основната отговорност за множество големи проекти с отворен код, такъв е примерът за Android, Golang, базираната на TypeScript рамка за уеб приложения Angular и операционната система Fuchsia за умни домашни устройства като Nest.
Днес стартираме програмата на Google за награди за уязвимости на софтуер с отворен код (OSS VRP), за да наградим откритите уязвимости в проектите на Google с отворен код. Като отговорен за големи проекти като Golang, Angular и Fuchsia, Google е сред най-големите участници и потребители на отворен код в света. С добавянето на OSS VRP на Google към нашето семейство от програми за награда за уязвимост (VRP), изследователите вече могат да бъдат възнаградени за намиране на грешки, които потенциално биха могли да засегнат цялата екосистема с отворен код.
Уязвимостите са голям проблем, обясниха от Google в публикация в блог. Каза, че има 650% увеличение на целевите атаки към веригата за доставки на софтуер с отворен код миналата година, което доведе до големи инциденти, като например използването на уязвимостта на Log4Shell.
„Ловът на грешки е популярен инструмент не само за подобряване на качеството на софтуерните предложения, но и за повишаване на познанията на разработчиците, като същевременно действа като стимул за по-задълбочено взаимодействие с кода“, каза Холгер Мюлер от Constellation. Research Inc. „В това отношение, добре е да се види, че Google предлага друго търсене на грешки, обозначено с Open Source Software Vulnerability Program. Всички параметри са привлекателни, общностите на разработчиците са непостоянни, така че ще видим какъв ще бъде отговорът и, което е по-важно, какви недостатъци и по-нататъшно приемане на основните платформи могат да бъдат получени.
Програмата OSS VRP, обявена днес, е част от този ангажимент.
От своя страна, Google насърчава изследователите да прегледат неговия софтуерен код с отворен код и да докладват за всякакви уязвимости които откриват Google каза, че ще плати награди въз основа на сериозността на уязвимостта и важността на проекта, вариращи от $100 до $31,337 XNUMX. По-големи премии ще бъдат изплащани и за по-„необичайни или особено интересни уязвимости“, за които Google насърчава изследователите да бъдат креативни.
В допълнение към наградите, потребителите могат да получат и обществено признание за своите открития, ако решат. За тези, които искат да дарят наградата си за благотворителност, Google каза, че ще изравни тези вноски от собствената си купчина пари.
Google обясни, че изследователите трябва да съсредоточат усилията си върху най-актуалните версии на софтуерните проекти с отворен код, които ръководят, които могат да бъдат намерени в публични хранилища на страницата GitHub на Google. Търсенето на грешки се простира и до зависимостите от трети страни на тези проекти.
Накрая ако се интересувате да научите повече за бележката, можете да се запознаете с изявлението, издадено от Google в следваща връзка.