Google amplia la cartera de programes de recompenses
Google ha reafirmat el vostre compromís amb l'open source i ho ha fet llançat un nou programa per donar suport als investigadors de seguretat i als caçadors d'errors oferint recompenses en efectiu qualsevol que pugui descobrir vulnerabilitats en els projectes de programari de codi obert que dirigeix.
El Programa de recompenses anunciat és la darrera incorporació a la família de programes de recompensa per vulnerabilitat de Google i s'enfoca a recompensar els investigadors que troben errors que podrien fer malbé alguns dels projectes de codi obert més utilitzats del món.
El programa VRP original, establert per compensar i agrair als que ajuden que el codi de Google sigui més segur, va ser un dels primers al món i ara s'acosta al seu 12è aniversari. Amb el temps, la nostra línia de VRP s'ha ampliat per incloure programes enfocats a Chrome, Android i altres àrees. En conjunt, aquests programes han recompensat més de 13 presentacions, amb un total pagat de més de $000 milions.
Com molts sabran, Google és el principal responsable de nombrosos projectes importants de codi obert, tal és l'exemple d'Android, Golang, el marc d'aplicacions web basat en TypeScript Angular i el sistema operatiu Fuchsia per a dispositius domèstics intel·ligents com Nest.
Avui llancem el Programa de recompenses per vulnerabilitats de programari de codi obert (OSS VRP) de Google per recompensar els descobriments de vulnerabilitats als projectes de codi obert de Google. Com a responsable de projectes importants com Golang, Angular i Fuchsia, Google es troba entre els majors contribuents i usuaris de codi obert del món. Amb la incorporació de l'OSS VRP de Google a la nostra família de Programes de Recompensa de Vulnerabilitat (VRP), els investigadors ara poden ser recompensats per trobar errors que podrien afectar potencialment tot l'ecosistema de codi obert.
Les vulnerabilitats són un gran problema, va explicar Google en una publicació de bloc. Va dir que hi va haver un augment del 650% en els atacs dirigits a la cadena de subministrament de programari de codi obert l'any passat, cosa que va resultar en incidents importants com la vulnerabilitat Log4Shell que va ser explotada.
"La cerca d'errors és una eina popular no només per millorar la qualitat de les ofertes de programari, sinó també per augmentar la familiaritat dels desenvolupadors mentre actua com un incentiu per a una interacció més profunda amb el codi", va dir Holger Mueller de Constellation Research Inc. “En aquest sentit, és bo veure que Google ofereix una altra cerca d'errors, etiquetada com a Programa de vulnerabilitat de programari de codi obert. Tots els paràmetres són atractius, les comunitats de desenvolupadors són inconstants, per la qual cosa veurem com serà la resposta i, el que és més important, quins defectes i una adopció més gran de les plataformes subjacents es poden obtenir”.
El programa OSS VRP anunciat avui forma part d'aquest compromís.
Per la seva banda, Google anima els investigadors a revisar el codi de programari de codi obert i informar qualsevol vulnerabilitat que descobreixin. Google va dir que pagarà recompenses segons la gravetat de la vulnerabilitat i la importància del projecte, que van des de $ 100-31,337 $. També es pagaran recompenses més grans a més «vulnerabilitats inusuals o particularment interessants», per la qual cosa Google encoratja els investigadors a ser creatius.
A més de les recompenses, els usuaris també poden rebre reconeixement públic dels seus descobriments, si així ho desitgen. Per a aquells que vulguin donar la seva recompensa a la caritat, Google va dir que igualarà aquestes contribucions de la pròpia pila d'efectiu.
Google va explicar que els investigadors haurien de centrar els seus esforços en les versions més actualitzades dels projectes de programari de codi obert que lidera, que es poden trobar als repositoris públics de la pàgina GitHub de Google. La cerca d'errors també s'estén a les dependències de tercers dels projectes.
Finalment si estàs interessat en poder conèixer més a l'respecte sobre la nota, pots consultar el comunicat emès per Google al següent enllaç.