Google udvider sin portefølje af belønningsprogrammer
Google har bekræftet sit engagement i open source og har den frigivet et nyt program at støtte sikkerhedsforskere og jægere af fejl, der tilbyder kontante belønninger enhver, der måtte opdage sårbarheder i de open source-softwareprojekter, han leder.
Belønningsprogrammet annonceret er den seneste tilføjelse til Googles familie af sårbarheds-bounty-programmer og fokuserer på at belønne forskere der finder fejl, der kan skade nogle af verdens mest udbredte open source-projekter.
Etableret for at kompensere og takke dem, der hjælper med at gøre Googles kode mere sikker, var det originale VRP-program et af de første i verden og nærmer sig nu sit 12-års jubilæum. Over tid er vores VRP-sortiment blevet udvidet til at omfatte programmer fokuseret på Chrome, Android og andre områder. Tilsammen har disse programmer belønnet mere end 13 indsendelser med en samlet udbetaling på mere end $000 millioner.
Som mange vil vide, Google er primært ansvarlig for adskillige store open source-projekter, sådan er eksemplet med Android, Golang, den TypeScript-baserede webapplikationsramme Angular og Fuchsia-operativsystemet til smarte hjemmeenheder som Nest.
I dag lancerer vi Googles Open Source Software Vulnerability Reward Program (OSS VRP) for at belønne sårbarhedsopdagelser i Googles open source-projekter. Som ansvarlig for store projekter som Golang, Angular og Fuchsia er Google blandt de største bidragydere og brugere af open source i verden. Med tilføjelsen af Googles OSS VRP til vores familie af Vulnerability Bounty-programmer (VRP'er), kan forskere nu blive belønnet for at finde fejl, der potentielt kan påvirke hele open source-økosystemet.
Sårbarheder er et stort problem, forklarede Google i et blogindlæg. Sagde, at der var en stigning på 650 % i målrettede angreb til open source-softwareforsyningskæden sidste år, hvilket resulterede i, at større hændelser såsom Log4Shell-sårbarheden blev udnyttet.
"Fejljagt er et populært værktøj, ikke kun til at forbedre kvaliteten af softwareudbud, men også til at øge udviklerkendskabet, samtidig med at det fungerer som et incitament til dybere interaktion med koden," sagde Holger Mueller fra Constellation. Research Inc. "I denne forbindelse, det er godt at se, at Google tilbyder endnu en fejlsøgning, kaldet Open Source Software Vulnerability Program. Alle parametrene er attraktive, udviklerfællesskaberne er omskiftelige, så vi vil se, hvordan responsen bliver, og endnu vigtigere, hvilke mangler og yderligere adoption af de underliggende platforme, der kan opnås.”
OSS VRP-programmet annonceret i dag er en del af denne forpligtelse.
For sin del, Google opfordrer forskere til at gennemgå sin open source-softwarekode og rapportere eventuelle sårbarheder at de opdager Google sagde, at det vil udbetale dusører baseret på sværhedsgraden af sårbarheden og vigtigheden af projektet, der spænder fra $100 til $31,337. Større dusører vil også blive udbetalt til mere "usædvanlige eller særligt interessante sårbarheder", som Google opfordrer forskere til at være kreative for.
Ud over belønninger kan brugere også modtage offentlig anerkendelse for deres opdagelser, hvis de ønsker det. For dem, der ønsker at donere deres belønning til velgørenhed, sagde Google, at det vil matche disse bidrag fra sin egen pengebunke.
Google forklarede, at forskere bør fokusere deres indsats på de mest opdaterede versioner af de open source-softwareprojekter, det leder, som kan findes i offentlige arkiver på Googles GitHub-side. Fejljagten strækker sig også til disse projekters tredjepartsafhængigheder.
Endelig Hvis du er interesseret i at kunne vide mere om det om noten, kan du konsultere erklæringen udstedt af Google i følgende link.