Google rozšiřuje portfolio svých programů odměn
Google znovu potvrdil svůj závazek k open source a má to vydané nový program na podporu bezpečnostních výzkumníků a lovců chyb nabízejících peněžní odměny kdokoli, kdo by mohl objevit zranitelnosti v projektech open source softwaru, které vede.
Vyhlášen program odměn je nejnovějším přírůstkem do rodiny programů odměn za zranitelnosti společnosti Google a se zaměřuje na odměňování výzkumníků které najdou chyby, které by mohly poškodit některé z celosvětově nejrozšířenějších open source projektů.
Původní program VRP, který byl založen jako kompenzace a poděkování těm, kteří pomáhají zlepšit zabezpečení kódu Google, byl jedním z prvních na světě a nyní se blíží 12. výročí. Postupem času se naše nabídka VRP rozšířila o programy zaměřené na Chrome, Android a další oblasti. Dohromady tyto programy odměnily více než 13 000 příspěvků s celkovou výplatou více než 38 milionů USD.
Jak mnozí vědí, Google je primárně zodpovědný za řadu velkých open source projektů, takový je příklad Androidu, Golangu, webového aplikačního frameworku Angular založeného na TypeScriptu a operačního systému Fuchsia pro chytrá domácí zařízení, jako je Nest.
Dnes spouštíme program odměn za zranitelnost softwaru s otevřeným zdrojovým kódem (OSS VRP) společnosti Google, abychom odměňovali objevy zranitelnosti v projektech společnosti Google s otevřeným zdrojovým kódem. Google jako zodpovědný za velké projekty, jako jsou Golang, Angular a Fuchsia, patří mezi největší přispěvatele a uživatele open source na světě. S přidáním OSS VRP od Google do naší rodiny Vulnerability Bounty Programs (VRP) mohou nyní výzkumníci být odměněni za nalezení chyb, které by mohly potenciálně ovlivnit celý open source ekosystém.
Zranitelnosti jsou velkým problémem, vysvětlil Google v příspěvku na blogu. Řekl, že došlo k 650% nárůstu cílených útoků do dodavatelského řetězce open source softwaru v loňském roce, což vedlo k velkým incidentům, jako je zneužití zranitelnosti Log4Shell.
„Hledání chyb je oblíbeným nástrojem nejen pro zlepšení kvality nabídky softwaru, ale také pro zvýšení znalosti vývojářů a zároveň působí jako pobídka pro hlubší interakci s kódem,“ řekl Holger Mueller z Constellation. Research Inc. je dobré vidět, že Google nabízí další vyhledávání chyb s názvem Open Source Software Vulnerability Program. Všechny parametry jsou atraktivní, vývojářské komunity jsou nestálé, takže uvidíme, jaká bude odezva a hlavně, jaké nedostatky a další přijetí základních platforem lze získat.“
Dnes oznámený program OSS VRP je součástí tohoto závazku.
Pro jeho část, Google doporučuje výzkumníkům, aby přezkoumali jeho software s otevřeným zdrojovým kódem a nahlásili jakékoli chyby zabezpečení že objeví Google uvedl, že bude vyplácet odměny na základě závažnosti zranitelnosti a důležitosti projektu v rozmezí od 100 do 31,337 XNUMX USD. Větší odměny budou také vypláceny za více „neobvyklých nebo obzvláště zajímavých zranitelností“, u kterých Google vyzývá výzkumníky, aby byli kreativní.
Kromě odměn mohou uživatelé také získat veřejné uznání za své objevy, pokud se tak rozhodnou. Pro ty, kteří chtějí darovat svou odměnu na charitu, společnost Google uvedla, že tyto příspěvky vyrovná ze své vlastní hromady peněz.
Google vysvětlil, že výzkumníci by měli zaměřit své úsilí na nejaktuálnější verze otevřených softwarových projektů, které vede a které lze nalézt ve veřejných repozitářích na stránce Google GitHub. Hledání chyb se také rozšiřuje na závislosti těchto projektů od třetích stran.
Konečně Máte-li zájem dozvědět se více o poznámce, můžete si přečíst prohlášení vydané společností Google v následující odkaz.