Google laiendab oma preemiaprogrammide portfelli
Google on kinnitanud oma pühendumust avatud lähtekoodile ja laseb selle vabastada uus programm toetada julgeolekuteadlasi ja jahimehi rahalise preemia pakkumise vigadest igaüks, kes võib avastada turvaauke tema juhitavates avatud lähtekoodiga tarkvaraprojektides.
Preemiaprogramm kuulutati välja on uusim täiendus Google'i haavatavuse hüvitusprogrammide ja keskendub teadlaste premeerimisele mis leiavad vigu, mis võivad kahjustada mõnda maailma enimkasutatavat avatud lähtekoodiga projekti.
Algne VRP-programm, mis loodi selleks, et kompenseerida ja tänada neid, kes aitavad Google'i koodi turvalisemaks muuta, oli üks esimesi maailmas ja läheneb nüüd oma 12. aastapäevale. Aja jooksul on meie VRP-valik laienenud, hõlmates programme, mis keskenduvad Chrome'ile, Androidile ja teistele valdkondadele. Ühiselt on need programmid premeerinud enam kui 13 000 esildist, mille kogumakse on üle 38 miljoni dollari.
Nagu paljud teavad, Google vastutab peamiselt paljude suurte avatud lähtekoodiga projektide eest, näiteks Android, Golang, TypeScript-põhine veebirakenduste raamistik Angular ja Fuchsia operatsioonisüsteem nutikate koduseadmete jaoks, nagu Nest.
Täna käivitame Google'i avatud lähtekoodiga tarkvara haavatavuse preemiaprogrammi (OSS VRP), et premeerida Google'i avatud lähtekoodiga projektides avastatud haavatavust. Vastutades selliste suurte projektide eest nagu Golang, Angular ja Fuchsia, on Google üks suurimaid avatud lähtekoodiga panustajaid ja kasutajaid maailmas. Google'i OSS VRP lisamisega meie haavatavuse bounty programmide (VRP) perekonda saavad teadlased nüüd premeerida vigade leidmise eest, mis võivad mõjutada kogu avatud lähtekoodiga ökosüsteemi.
Haavatavused on suur probleem, selgitas Google blogipostituses. Ütles, et suunatud rünnakute arv on kasvanud 650%. eelmisel aastal avatud lähtekoodiga tarkvara tarneahelasse, mille tulemusena kasutati ära suuri intsidente, nagu Log4Shelli haavatavus.
"Veaotsing on populaarne tööriist mitte ainult tarkvarapakkumiste kvaliteedi parandamiseks, vaid ka arendajate tuntuse suurendamiseks, motiveerides samal ajal koodiga sügavamat suhtlemist," ütles Holger Mueller ettevõttest Constellation. Research Inc. "Seoses sellega, on hea näha, et Google pakub veel üht veaotsingut, mille nimeks on avatud lähtekoodiga tarkvara haavatavusprogramm. Kõik parameetrid on atraktiivsed, arendajate kogukonnad on muutlikud, nii et näeme, kuidas reageeritakse ja mis veelgi olulisem, milliseid vigu ja aluseks olevate platvormide edasist kasutuselevõttu on võimalik saavutada.
Täna välja kuulutatud OSS VRP programm on osa sellest kohustusest.
Omalt Google julgustab teadlasi oma avatud lähtekoodiga tarkvara koodi üle vaatama ja kõigist haavatavustest teatama et nad avastavad Google teatas, et maksab hüvitisi haavatavuse tõsiduse ja projekti olulisuse alusel, vahemikus 100 kuni 31,337 XNUMX dollarit. Suuremaid preemiaid makstakse ka "ebatavalisemate või eriti huvitavate haavatavuste eest", mille puhul Google julgustab teadlasi olema loominguline.
Lisaks preemiatele saavad kasutajad soovi korral oma avastuste eest ka avalikku tunnustust. Neile, kes soovivad oma preemiat heategevuseks annetada, ütles Google, et see vastab nendele oma rahahunnikutele.
Google selgitas, et teadlased peaksid keskenduma oma juhitavate avatud lähtekoodiga tarkvaraprojektide kõige ajakohasematele versioonidele, mida võib leida Google'i GitHubi lehe avalikest hoidlatest. Veajaht laieneb ka nende projektide sõltuvustele kolmandatest osapooltest.
Lõpuks Kui olete huvitatud sellest, et saaksite selle kohta rohkem teada saada, saate tutvuda Google'i väljaandega järgmine link.