Google memperluas portofolio program hadiahnya
Google telah menegaskan kembali komitmennya untuk open source dan telah dirilis program baru untuk mendukung peneliti dan pemburu keamanan kesalahan menawarkan hadiah uang tunai siapa pun yang mungkin menemukan kerentanan dalam proyek perangkat lunak sumber terbuka yang dipimpinnya.
Program Hadiah diumumkan adalah tambahan terbaru untuk keluarga program karunia kerentanan Google dan berfokus pada memberi penghargaan kepada peneliti yang menemukan bug yang dapat membahayakan beberapa proyek sumber terbuka yang paling banyak digunakan di dunia.
Didirikan untuk mengimbangi dan berterima kasih kepada mereka yang membantu membuat kode Google lebih aman, program VRP asli adalah salah satu yang pertama di dunia dan sekarang mendekati hari jadinya yang ke-12. Seiring waktu, jajaran VRP kami telah diperluas untuk mencakup program yang berfokus pada Chrome, Android, dan area lainnya. Secara kolektif, program-program ini telah memberi penghargaan kepada lebih dari 13 kiriman, dengan total pembayaran lebih dari $000 juta.
Seperti yang akan diketahui banyak orang, Google terutama bertanggung jawab atas banyak proyek sumber terbuka utama, seperti contoh Android, Golang, framework aplikasi web berbasis TypeScript Angular, dan sistem operasi Fuchsia untuk perangkat rumah pintar seperti Nest.
Hari ini kami meluncurkan Program Penghargaan Kerentanan Perangkat Lunak Sumber Terbuka (OSS VRP) Google untuk menghargai penemuan kerentanan dalam proyek sumber terbuka Google. Sebagai penanggung jawab proyek besar seperti Golang, Angular, dan Fuchsia, Google adalah salah satu kontributor dan pengguna open source terbesar di dunia. Dengan tambahan VRP OSS Google ke keluarga Vulnerability Bounty Programs (VRPs), peneliti sekarang dapat diberi penghargaan karena menemukan bug yang berpotensi memengaruhi seluruh ekosistem open source.
Kerentanan adalah masalah besar, Google menjelaskan dalam posting blog. Mengatakan ada peningkatan 650% dalam serangan yang ditargetkan ke rantai pasokan perangkat lunak sumber terbuka tahun lalu, yang mengakibatkan insiden besar seperti kerentanan Log4Shell yang dieksploitasi.
"Perburuan bug adalah alat yang populer tidak hanya untuk meningkatkan kualitas penawaran perangkat lunak, tetapi juga untuk meningkatkan keakraban pengembang sambil bertindak sebagai insentif untuk interaksi yang lebih dalam dengan kode," kata Holger Mueller dari Constellation. Research Inc. "Dalam hal ini, senang melihat bahwa Google menawarkan pencarian bug lain, berlabel Open Source Software Vulnerability Program. Semua parameternya menarik, komunitas pengembang berubah-ubah, jadi kita akan melihat bagaimana tanggapannya dan, yang lebih penting, kekurangan dan adopsi lebih lanjut dari platform yang mendasarinya dapat diperoleh.”
Program OSS VRP yang diumumkan hari ini adalah bagian dari komitmen tersebut.
Untuk bagiannya, Google mendorong peneliti untuk meninjau kode perangkat lunak sumber terbuka dan melaporkan setiap kerentanan yang mereka temukan Google mengatakan akan membayar hadiah berdasarkan tingkat keparahan kerentanan dan pentingnya proyek, mulai dari $ 100 hingga $ 31,337. Bounty yang lebih besar juga akan dibayarkan ke lebih banyak "kerentanan yang tidak biasa atau sangat menarik," di mana Google mendorong para peneliti untuk menjadi kreatif.
Selain hadiah, pengguna juga dapat menerima pengakuan publik atas penemuan mereka jika mereka mau. Bagi mereka yang ingin menyumbangkan hadiah mereka untuk amal, Google mengatakan akan mencocokkan kontribusi tersebut dari tumpukan uangnya sendiri.
Google menjelaskan bahwa para peneliti harus memfokuskan upaya mereka pada versi terbaru dari proyek perangkat lunak open source yang dipimpinnya, yang dapat ditemukan di repositori publik di halaman GitHub Google. Perburuan bug juga meluas ke dependensi pihak ketiga dari proyek tersebut.
Akhirnya Jika Anda tertarik untuk mengetahui lebih banyak tentang catatan itu, Anda dapat berkonsultasi dengan pernyataan yang dikeluarkan oleh Google di link berikut.