Google ha reafirmado su compromiso con el open source y lo ha hecho lanzado un nuevo programa para apoyar a los investigadores de seguridad y a los cazadores de errores ofreciendo recompensas en efectivo a cualquiera que pueda descubrir vulnerabilidades en los proyectos de software de código abierto que dirige.
El Programa de recompensas anunciado es la última incorporación a la familia de programas de recompensa por vulnerabilidad de Google y se enfoca en recompensar a los investigadores que encuentran errores que podrían dañar algunos de los proyectos de código abierto más utilizados del mundo.
El programa VRP original, establecido para compensar y agradecer a quienes ayudan a que el código de Google sea más seguro, fue uno de los primeros en el mundo y ahora se acerca a su 12.° aniversario. Con el tiempo, nuestra línea de VRP se ha ampliado para incluir programas enfocados en Chrome, Android y otras áreas. En conjunto, estos programas han recompensado más de 13 000 presentaciones, con un total pagado de más de $38 millones.
Como muchos sabrán, Google es el principal responsable de numerosos proyectos importantes de código abierto, tal es el ejemplo de Android, Golang, el marco de aplicaciones web basado en TypeScript Angular y el sistema operativo Fuchsia para dispositivos domésticos inteligentes como Nest.
Hoy lanzamos el Programa de recompensas por vulnerabilidades de software de código abierto (OSS VRP) de Google para recompensar los descubrimientos de vulnerabilidades en los proyectos de código abierto de Google. Como responsable de proyectos importantes como Golang , Angular y Fuchsia , Google se encuentra entre los mayores contribuyentes y usuarios de código abierto del mundo. Con la incorporación del OSS VRP de Google a nuestra familia de Programas de Recompensa de Vulnerabilidad (VRP) , los investigadores ahora pueden ser recompensados por encontrar errores que podrían afectar potencialmente a todo el ecosistema de código abierto.
Las vulnerabilidades son un gran problema, explicó Google en una publicación de blog. Dijo que hubo un aumento del 650% en los ataques dirigidos a la cadena de suministro de software de código abierto el año pasado, lo que resultó en incidentes importantes como la vulnerabilidad Log4Shell que fue explotada.
“La búsqueda de errores es una herramienta popular no solo para mejorar la calidad de las ofertas de software, sino también para aumentar la familiaridad de los desarrolladores mientras actúa como un incentivo para una interacción más profunda con el código”, dijo Holger Mueller de Constellation Research Inc. “En este sentido , es bueno ver que Google ofrece otra búsqueda de errores, etiquetada como Programa de vulnerabilidad de software de código abierto. Todos los parámetros son atractivos, las comunidades de desarrolladores son inconstantes, por lo que veremos cómo será la respuesta y, lo que es más importante, qué defectos y una mayor adopción de las plataformas subyacentes se pueden obtener”.
El programa OSS VRP anunciado hoy es parte de ese compromiso.
Por su parte, Google alienta a los investigadores a revisar su código de software de código abierto e informar cualquier vulnerabilidad que descubran. Google dijo que pagará recompensas según la gravedad de la vulnerabilidad y la importancia del proyecto, que van desde $ 100 hasta $ 31,337. También se pagarán recompensas más grandes a más «vulnerabilidades inusuales o particularmente interesantes», por lo que Google alienta a los investigadores a ser creativos.
Además de las recompensas, los usuarios también pueden recibir reconocimiento público de sus descubrimientos, si así lo desean. Para aquellos que quieran donar su recompensa a la caridad, Google dijo que igualará esas contribuciones de su propia pila de efectivo.
Google explicó que los investigadores deberían centrar sus esfuerzos en las versiones más actualizadas de los proyectos de software de código abierto que lidera, que se pueden encontrar en los repositorios públicos de la página GitHub de Google. La búsqueda de errores también se extiende a las dependencias de terceros de esos proyectos.
Finalmente si estás interesado en poder conocer más al respecto sobre la nota, puedes consultar el comunicado emitido por Google en el siguiente enlace.