A Google megerősítette elkötelezettségét a nyílt forráskód mellett és kiadta egy új program biztonsági kutatók és vadászok támogatására pénzjutalmat kínáló hibákról bárki, aki sebezhetőséget fedezhet fel az általa vezetett nyílt forráskódú szoftverprojektekben.
Bejelentették a jutalomprogramot a Google sebezhetőségi jutalomprogramjainak családjának legújabb tagja és a kutatók jutalmazására összpontosít amelyek olyan hibákat találnak, amelyek károsíthatják a világ legszélesebb körben használt nyílt forráskódú projektjeit.
Az eredeti VRP-programot azért hozták létre, hogy kompenzálja és megköszönje azoknak, akik segítenek a Google kódjának biztonságosabbá tételében. Az eredeti VRP-program az egyik első volt a világon, és most közeledik fennállásának 12. évfordulójához. Az idő múlásával VRP-kínálatunk kibővült a Chrome-ra, Androidra és más területekre összpontosító programokkal. Ezek a programok együttesen több mint 13 000 beadványt jutalmaztak, összesen több mint 38 millió dollár kifizetéssel.
Mint sokan tudják, A Google elsősorban számos nagy nyílt forráskódú projektért felelős, ilyen például az Android, a Golang, a TypeScript-alapú webalkalmazás-keretrendszer, az Angular és a Fuchsia operációs rendszer olyan intelligens otthoni eszközökhöz, mint a Nest.
A mai napon elindítjuk a Google nyílt forráskódú szoftversebezhetőségi jutalomprogramját (OSS VRP), amely a Google nyílt forráskódú projektjeiben felfedezett sebezhetőségeket jutalmazza. Az olyan nagy projektekért, mint a Golang, az Angular és a Fuchsia, a Google a világ legnagyobb nyílt forráskódú közreműködői és felhasználói közé tartozik. Azzal, hogy a Google OSS VRP-jét a Vulnerability Bounty Programs (VRP) családunkhoz hozzáadtuk, a kutatók jutalmat kaphatnak, ha olyan hibákat találnak, amelyek potenciálisan az egész nyílt forráskódú ökoszisztémát érinthetik.
A sérülékenységek nagy problémát jelentenek – magyarázta a Google egy blogbejegyzésben. Azt mondta, 650%-kal nőtt a célzott támadások száma tavaly a nyílt forráskódú szoftverek ellátási láncába került, ami olyan jelentős incidenseket eredményezett, mint például a Log4Shell sebezhetősége.
"A hibakeresés nemcsak a szoftverajánlatok minőségének javítására népszerű eszköz, hanem a fejlesztők ismertségének növelésére is, miközben ösztönzi a kóddal való mélyebb interakciót" - mondta Holger Mueller, a Constellation Research Inc. munkatársa. "E tekintetben jó látni, hogy a Google egy újabb hibakeresést kínál, a Nyílt forráskódú szoftverek sebezhetőségi programjaként. Minden paraméter vonzó, a fejlesztői közösségek ingatagok, így meglátjuk, milyen lesz a válasz, és ami még fontosabb, milyen hibákat és a mögöttes platformok további alkalmazását lehet elérni.”
A ma bejelentett OSS VRP program ennek az elkötelezettségnek a része.
A maga részéről A Google arra ösztönzi a kutatókat, hogy nézzék át nyílt forráskódú szoftverkódját, és jelentsenek minden sebezhetőséget hogy felfedezik A Google azt mondta, hogy a sebezhetőség súlyosságától és a projekt fontosságától függően 100 és 31,337 XNUMX dollár közötti jutalmat fizet. Nagyobb jutalmakat is fizetnek a "szokatlanabb vagy különösen érdekes sérülékenységekért", amiért a Google kreatívkodásra ösztönzi a kutatókat.
A jutalmakon kívül a felhasználók nyilvános elismerésben is részesülhetnek felfedezéseikért, ha úgy döntenek. Azok számára, akik jutalmukat jótékony célokra szeretnék felajánlani, a Google azt mondta, hogy a saját pénzhalmából származó hozzájárulásokkal megegyezik.
A Google kifejtette, hogy a kutatóknak erőfeszítéseiket az általa vezetett nyílt forráskódú szoftverprojektek legfrissebb verzióira kell összpontosítaniuk, amelyek a Google GitHub oldalán található nyilvános tárolókban találhatók. A hibavadászat kiterjed ezeknek a projekteknek a harmadik féltől való függésére is.
Végül Ha érdekel, hogy többet megtudhass róla a jegyzetről, megtekintheti a Google által kiadott nyilatkozatot a következő link.