Google proširuje svoj portfolio programa nagrađivanja
Google je ponovo potvrdio svoju posvećenost otvorenom kodu i izdao ga novi program za podršku istraživačima i lovcima u oblasti bezbednosti grešaka u ponudi novčanih nagrada svako ko bi mogao otkriti ranjivosti u projektima otvorenog koda koje vodi.
Objavljen je Program nagrađivanja je najnoviji dodatak Googleovoj porodici programa za nagrađivanje ranjivosti i fokusira se na nagrađivanje istraživača koji pronalaze greške koje bi mogle naštetiti nekim od najraširenijih svjetskih projekata otvorenog koda.
Osnovan da nadoknadi i zahvali onima koji pomažu da Googleov kod bude sigurniji, originalni VRP program bio je jedan od prvih u svijetu i sada se približava svojoj 12. godišnjici. Vremenom se naša VRP linija proširila i uključila programe fokusirane na Chrome, Android i druga područja. Zajedno, ovi programi su nagradili više od 13 prijava, sa ukupnom isplatom od više od 000 miliona dolara.
Kao što će mnogi znati, Google je prvenstveno odgovoran za brojne velike projekte otvorenog koda, kao što je primjer Androida, Golanga, okvira za web aplikacije Angular zasnovanog na TypeScript-u i operativnog sistema Fuchsia za pametne kućne uređaje kao što je Nest.
Danas pokrećemo Googleov program nagrađivanja ranjivosti softvera otvorenog koda (OSS VRP) kako bismo nagradili otkrića ranjivosti u Googleovim projektima otvorenog koda. Kao odgovoran za velike projekte kao što su Golang, Angular i Fuchsia, Google je među najvećim suradnicima i korisnicima otvorenog koda u svijetu. Sa dodatkom Google-ovog OSS VRP-a našoj porodici Vulnerability Bounty Programs (VRP), istraživači sada mogu biti nagrađeni za pronalaženje grešaka koje bi potencijalno mogle utjecati na cijeli ekosistem otvorenog koda.
Ranjivosti su veliki problem, objasnio je Google u blog postu. Rečeno je da je došlo do povećanja ciljanih napada za 650%. u lanac nabavke softvera otvorenog koda prošle godine, što je rezultiralo iskorištavanjem velikih incidenata kao što je ranjivost Log4Shell.
"Lov na greške je popularan alat ne samo za poboljšanje kvaliteta softverske ponude, već i za povećanje poznavanja programera dok djeluje kao poticaj za dublju interakciju s kodom", rekao je Holger Mueller iz Constellation. Research Inc. "U tom smislu, dobro je vidjeti da Google nudi još jednu pretragu grešaka, pod nazivom Open Source Software Vulnerability Program. Svi parametri su atraktivni, zajednice programera su nestalne, pa ćemo vidjeti kakav će biti odgovor i, što je još važnije, koje nedostatke i dalje usvajanje osnovnih platformi se može postići.”
Danas najavljeni program OSS VRP dio je tog opredjeljenja.
Sa druge strane, Google potiče istraživače da pregledaju svoj softver otvorenog koda i prijave sve ranjivosti koje otkrivaju Google je rekao da će isplatiti nagrade na osnovu ozbiljnosti ranjivosti i važnosti projekta, u rasponu od 100 do 31,337 dolara. Veće nagrade će također biti isplaćene za više "neobičnih ili posebno zanimljivih ranjivosti", za koje Google potiče istraživače da budu kreativni.
Osim nagrada, korisnici mogu dobiti i javno priznanje za svoja otkrića ako to žele. Za one koji žele svoju nagradu donirati u dobrotvorne svrhe, Google je rekao da će se uporediti s tim doprinosima iz vlastite gomile gotovine.
Google je objasnio da bi istraživači trebali usmjeriti svoje napore na najsavremenije verzije softverskih projekata otvorenog koda koje vodi, a koji se mogu naći u javnim spremištima na Google-ovoj stranici GitHub. Traženje grešaka se takođe proteže na zavisnosti od trećih strana tih projekata.
Konačno Ako ste zainteresirani da o tome možete saznati više o bilješci, možete pogledati izjavu koju je izdao Google u sljedeći link.