Google vahvistaa sitoutumisensa avoimeen lähdekoodiin ja käynnistää toisen bugipalkkioohjelman 

Google

Google laajentaa palkinto-ohjelmiensa valikoimaa

Google on vahvistanut sitoutumisensa avoimeen lähdekoodiin ja se on vapautettu uusi ohjelma turvallisuuden tutkijoiden ja metsästäjien tukemiseksi virheistä, jotka tarjoavat rahapalkintoja kuka tahansa, joka saattaa löytää haavoittuvuuksia hänen johtamissaan avoimen lähdekoodin ohjelmistoprojekteissa.

Palkintoohjelma julkistettiin on uusin lisäys Googlen haavoittuvuuspalkkio-ohjelmien ja keskittyy tutkijoiden palkitsemiseen jotka löytävät bugeja, jotka voivat vahingoittaa joitakin maailman laajimmin käytettyjä avoimen lähdekoodin projekteja.

Alkuperäinen VRP-ohjelma perustettiin kompensoimaan ja kiittämään niitä, jotka auttavat parantamaan Googlen koodin turvallisuutta, ja se oli yksi ensimmäisistä maailmassa ja lähestyy nyt 12-vuotisjuhlaansa. Ajan myötä VRP-valikoimamme on laajentunut sisältämään ohjelmia, jotka keskittyvät Chromeen, Androidiin ja muihin alueisiin. Yhdessä nämä ohjelmat ovat palkitaneet yli 13 000 palautetta, joiden kokonaismaksu on yli 38 miljoonaa dollaria.

Kuten monet tietävät, Google on ensisijaisesti vastuussa lukuisista suurista avoimen lähdekoodin projekteista, esimerkki on Android, Golang, TypeScript-pohjainen verkkosovelluskehys Angular ja Fuchsia-käyttöjärjestelmä älykodin laitteille, kuten Nest.

Julkaisemme tänään Googlen avoimen lähdekoodin ohjelmistohaavoittuvuuden palkintoohjelman (OSS VRP), jonka tarkoituksena on palkita haavoittuvuuksien löytäminen Googlen avoimen lähdekoodin projekteissa. Google on vastuussa suurista projekteista, kuten Golangista, Angularista ja Fuchsiasta, ja on yksi maailman suurimmista avoimen lähdekoodin rahoittajista ja käyttäjistä. Kun Googlen OSS VRP on lisätty Vulnerability Bounty Programs (VRP) -perheeseemme, tutkijat voivat nyt palkita vikojen löytämisestä, jotka saattavat vaikuttaa koko avoimen lähdekoodin ekosysteemiin.

Haavoittuvuudet ovat suuri ongelma, Google selitti blogikirjoituksessa. Sanoi, että kohdistettujen hyökkäysten määrä on lisääntynyt 650 prosenttia avoimen lähdekoodin ohjelmistojen toimitusketjuun viime vuonna, mikä johti suuriin tapauksiin, kuten Log4Shell-haavoittuvuuden hyväksikäyttöön.

"Virheetsintä on suosittu työkalu ohjelmistotarjonnan laadun parantamisen lisäksi myös kehittäjien tuntemuksen lisäämiseen samalla, kun se toimii kannustimena syvempään vuorovaikutukseen koodin kanssa", sanoi Holger Mueller Constellation. Research Inc:stä. "Tässä suhteessa On hienoa nähdä, että Google tarjoaa toisen virhehaun, nimeltä Open Source Software Vulnerability Program. Kaikki parametrit ovat houkuttelevia, kehittäjäyhteisöt ovat epävakaita, joten saamme nähdä, miten reagoidaan ja mikä tärkeintä, mitä puutteita ja taustalla olevien alustojen käyttöä voidaan saada lisää.

Tänään julkistettu OSS VRP -ohjelma on osa tätä sitoumusta.

Omalta Google rohkaisee tutkijoita tarkistamaan avoimen lähdekoodin ohjelmistokoodinsa ja raportoimaan haavoittuvuuksista jonka he löytävät Google sanoi maksavansa haavoittuvuuden vakavuuden ja projektin tärkeyden perusteella palkkioita, jotka vaihtelevat 100 dollarista 31,337 XNUMX dollariin. Suurempia palkkioita maksetaan myös "epätavallisemmille tai erityisen mielenkiintoisille haavoittuvuuksille", joiden osalta Google rohkaisee tutkijoita luovuuteen.

Palkintojen lisäksi käyttäjät voivat halutessaan saada julkista tunnustusta löydöistään. Niille, jotka haluavat lahjoittaa palkkionsa hyväntekeväisyyteen, Google sanoi, että se vastaa oman rahakasansa lahjoituksia.

Google selitti, että tutkijoiden tulisi keskittyä johtamiensa avoimen lähdekoodin ohjelmistoprojektien uusimpiin versioihin, jotka löytyvät julkisista arkistoista Googlen GitHub-sivulla. Virheetsintä ulottuu myös näiden projektien riippuvuuteen kolmansista osapuolista.

Vihdoin Jos olet kiinnostunut saamaan siitä lisätietoja nuotista, voit tutustua Googlen antamaan lausuntoon seuraava linkki.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.