Η Google επεκτείνει το χαρτοφυλάκιό της με προγράμματα επιβράβευσης
Η Google επιβεβαίωσε τη δέσμευσή της στον ανοιχτό κώδικα και το έχει κυκλοφορήσει ένα νέο πρόγραμμα για την υποστήριξη ερευνητών και κυνηγών ασφάλειας σφαλμάτων που προσφέρουν ανταμοιβές σε μετρητά όποιος μπορεί να ανακαλύψει τρωτά σημεία στα έργα λογισμικού ανοιχτού κώδικα που ηγείται.
Ανακοινώθηκε το Πρόγραμμα Επιβράβευσης είναι η πιο πρόσφατη προσθήκη στην οικογένεια προγραμμάτων επιβράβευσης ευπάθειας της Google και επικεντρώνεται στην επιβράβευση των ερευνητών που εντοπίζουν σφάλματα που θα μπορούσαν να βλάψουν ορισμένα από τα πιο ευρέως χρησιμοποιούμενα έργα ανοιχτού κώδικα στον κόσμο.
Δημιουργήθηκε για να αποζημιώσει και να ευχαριστήσει όσους βοηθούν να γίνει ο κώδικας της Google πιο ασφαλής, το αρχικό πρόγραμμα VRP ήταν ένα από τα πρώτα στον κόσμο και τώρα πλησιάζει τη 12η επέτειό του. Με την πάροδο του χρόνου, η σειρά VRP μας επεκτάθηκε για να περιλαμβάνει προγράμματα που επικεντρώνονται στο Chrome, το Android και άλλους τομείς. Συλλογικά, αυτά τα προγράμματα έχουν ανταμείψει περισσότερες από 13 υποβολές, με συνολική πληρωμή άνω των 000 εκατομμυρίων δολαρίων.
Όπως πολλοί θα γνωρίζουν, Η Google είναι κυρίως υπεύθυνη για πολλά μεγάλα έργα ανοιχτού κώδικα, Αυτό είναι το παράδειγμα του Android, του Golang, του πλαισίου εφαρμογών ιστού που βασίζεται σε TypeScript Angular και του λειτουργικού συστήματος Fuchsia για έξυπνες οικιακές συσκευές όπως το Nest.
Σήμερα λανσάρουμε το Πρόγραμμα Επιβράβευσης Ευπάθειας Λογισμικού Ανοικτού Κώδικα (OSS VRP) της Google για να ανταμείψουμε τις ανακαλύψεις ευπάθειας στα έργα ανοιχτού κώδικα της Google. Ως υπεύθυνη για μεγάλα έργα όπως το Golang, το Angular και το Fuchsia, η Google είναι από τους μεγαλύτερους συνεισφέροντες και χρήστες ανοιχτού κώδικα στον κόσμο. Με την προσθήκη του OSS VRP της Google στην οικογένεια των Προγραμμάτων Ευπάθειας Bounty (VRP), οι ερευνητές μπορούν πλέον να ανταμειφθούν για την εύρεση σφαλμάτων που θα μπορούσαν ενδεχομένως να επηρεάσουν ολόκληρο το οικοσύστημα ανοιχτού κώδικα.
Τα τρωτά σημεία είναι μεγάλο πρόβλημα, εξήγησε η Google σε μια ανάρτηση ιστολογίου. Είπε ότι υπήρξε αύξηση 650% στις στοχευμένες επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού ανοιχτού κώδικα πέρυσι, με αποτέλεσμα σημαντικά περιστατικά όπως η ευπάθεια Log4Shell να γίνει αντικείμενο εκμετάλλευσης.
"Το κυνήγι σφαλμάτων είναι ένα δημοφιλές εργαλείο όχι μόνο για τη βελτίωση της ποιότητας των προσφορών λογισμικού, αλλά και για την αύξηση της εξοικείωσης των προγραμματιστών, ενώ λειτουργεί ως κίνητρο για βαθύτερη αλληλεπίδραση με τον κώδικα", δήλωσε ο Holger Mueller της Constellation. Research Inc. Είναι καλό να δούμε ότι η Google προσφέρει μια άλλη αναζήτηση σφαλμάτων, με την ετικέτα Πρόγραμμα ευπάθειας λογισμικού ανοιχτού κώδικα. Όλες οι παράμετροι είναι ελκυστικές, οι κοινότητες προγραμματιστών είναι ευμετάβλητες, οπότε θα δούμε πώς θα είναι η ανταπόκριση και, το πιο σημαντικό, ποια ελαττώματα και περαιτέρω υιοθέτηση των υποκείμενων πλατφορμών μπορεί να έχει."
Το πρόγραμμα OSS VRP που ανακοινώθηκε σήμερα αποτελεί μέρος αυτής της δέσμευσης.
Από την πλευρά του, Η Google ενθαρρύνει τους ερευνητές να επανεξετάσουν τον κώδικα λογισμικού ανοιχτού κώδικα και να αναφέρουν τυχόν ευπάθειες που ανακαλύπτουν Η Google είπε ότι θα πληρώσει επιβραβεύσεις με βάση τη σοβαρότητα της ευπάθειας και τη σημασία του έργου, που κυμαίνονται από $100 έως $31,337. Θα καταβληθούν επίσης μεγαλύτερα επιδόματα σε πιο «ασυνήθιστα ή ιδιαίτερα ενδιαφέροντα τρωτά σημεία», για τα οποία η Google ενθαρρύνει τους ερευνητές να γίνουν δημιουργικοί.
Εκτός από τις ανταμοιβές, οι χρήστες μπορούν επίσης να λάβουν δημόσια αναγνώριση για τις ανακαλύψεις τους, εάν το επιθυμούν. Για όσους θέλουν να δωρίσουν την ανταμοιβή τους σε φιλανθρωπικούς σκοπούς, η Google είπε ότι θα καλύψει αυτές τις συνεισφορές από τη δική της στοίβα μετρητών.
Η Google εξήγησε ότι οι ερευνητές θα πρέπει να επικεντρώσουν τις προσπάθειές τους στις πιο ενημερωμένες εκδόσεις των έργων λογισμικού ανοιχτού κώδικα που οδηγεί, τα οποία μπορούν να βρεθούν σε δημόσια αποθετήρια στη σελίδα GitHub της Google. Το κυνήγι σφαλμάτων επεκτείνεται επίσης στις εξαρτήσεις τρίτων αυτών των έργων.
Τελικά Εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά με τη σημείωση, μπορείτε να συμβουλευτείτε τη δήλωση που εκδόθηκε από την Google στο παρακάτω σύνδεσμο.