Google proširuje svoj portfelj programa nagrađivanja
Google je ponovno potvrdio svoju predanost otvorenom kodu i izdao ga je novi program za podršku istraživačima sigurnosti i lovcima pogrešaka nudeći novčane nagrade svatko tko bi mogao otkriti ranjivosti u projektima softvera otvorenog koda koje vodi.
Najavljen program nagrađivanja je najnoviji dodatak Googleovoj obitelji programa nagrađivanja za ranjivost i usredotočuje se na nagrađivanje istraživača koji pronalaze greške koje bi mogle naštetiti nekim od svjetski najčešće korištenih projekata otvorenog koda.
Osnovan kako bi kompenzirao i zahvalio onima koji pomažu Googleov kod učiniti sigurnijim, izvorni VRP program bio je jedan od prvih u svijetu i sada se približava svojoj 12. obljetnici. S vremenom se naša VRP linija proširila na programe usmjerene na Chrome, Android i druga područja. Zajedno, ovi su programi nagradili više od 13 prijava, s ukupnom isplatom od više od 000 milijuna dolara.
Kao što će mnogi znati, Google je prvenstveno odgovoran za brojne velike projekte otvorenog koda, takav je primjer Androida, Golanga, okvira web aplikacija temeljenog na TypeScriptu Angular i operativnog sustava Fuchsia za pametne kućne uređaje poput Nesta.
Danas pokrećemo Googleov program nagrađivanja ranjivosti softvera otvorenog koda (OSS VRP) za nagrađivanje otkrića ranjivosti u Googleovim projektima otvorenog koda. Kao odgovoran za velike projekte kao što su Golang, Angular i Fuchsia, Google je među najvećim suradnicima i korisnicima otvorenog koda u svijetu. S dodatkom Googleovog OSS VRP-a našoj obitelji Vulnerability Bounty programa (VRP-ova), istraživači sada mogu biti nagrađeni za pronalaženje grešaka koje bi potencijalno mogle utjecati na cijeli ekosustav otvorenog koda.
Ranjivosti su veliki problem, objasnio je Google u postu na blogu. Rekao je da je zabilježen porast ciljanih napada od 650%. lancu nabave softvera otvorenog koda prošle godine, što je rezultiralo velikim incidentima poput iskorištavanja ranjivosti Log4Shell.
"Bug hunting je popularan alat ne samo za poboljšanje kvalitete ponude softvera, već i za povećanje upoznatosti programera dok istovremeno djeluje kao poticaj za dublju interakciju s kodom", rekao je Holger Mueller iz Constellationa. Research Inc. "U tom smislu, dobro je vidjeti da Google nudi još jednu pretragu bugova, s oznakom Open Source Software Vulnerability Program. Svi su parametri privlačni, zajednice programera su promjenjive, pa ćemo vidjeti kakav će biti odgovor i, što je još važnije, koje nedostatke i daljnje usvajanje temeljnih platformi možemo postići.”
OSS VRP program koji je danas najavljen dio je te obveze.
Sa svoje strane, Google potiče istraživače da pregledaju njegov softverski kod otvorenog koda i prijave sve ranjivosti koje otkrivaju Google je rekao da će isplatiti nagrade na temelju ozbiljnosti ranjivosti i važnosti projekta, u rasponu od 100 do 31,337 dolara. Veće nagrade također će biti isplaćene "neobičnijim ili posebno zanimljivim ranjivostima", za koje Google potiče istraživače da budu kreativni.
Osim nagrada, korisnici mogu dobiti i javno priznanje za svoja otkrića ako tako žele. Za one koji svoju nagradu žele donirati u dobrotvorne svrhe, Google je rekao da će te doprinose izjednačiti sa svojom gomilom novca.
Google je objasnio da bi istraživači trebali usmjeriti svoje napore na najnovije verzije softverskih projekata otvorenog koda koje vodi, a koji se mogu pronaći u javnim spremištima na Googleovoj GitHub stranici. Potraga za greškama također se proteže na ovisnosti tih projekata trećih strana.
Konačno ako vas zanima više o bilješci, možete pogledati izjavu koju je izdao Google u sljedeći link.