Google amplia il suo portafoglio di programmi a premi
Google ha riaffermato il suo impegno per l'open source e lo ha rilasciato un nuovo programma per supportare ricercatori e cacciatori di sicurezza di errori offrendo ricompense in denaro chiunque possa scoprire vulnerabilità nei progetti di software open source che guida.
Annunciato il programma a premi è l'ultima aggiunta alla famiglia di programmi di ricompensa di vulnerabilità di Google e si concentra sulla gratificazione dei ricercatori che trovano bug che potrebbero danneggiare alcuni dei progetti open source più utilizzati al mondo.
Istituito per compensare e ringraziare coloro che contribuiscono a rendere più sicuro il codice di Google, il programma VRP originale è stato uno dei primi al mondo e si avvicina ora al suo 12° anniversario. Nel tempo, la nostra gamma VRP si è ampliata per includere programmi incentrati su Chrome, Android e altre aree. Complessivamente, questi programmi hanno premiato più di 13 richieste, con una vincita totale di oltre 000 milioni di dollari.
Come molti sapranno, Google è il principale responsabile di numerosi importanti progetti open source, questo è l'esempio di Android, Golang, il framework per applicazioni web basato su TypeScript Angular e il sistema operativo Fuchsia per dispositivi domestici intelligenti come Nest.
Oggi lanciamo il programma Open Source Software Vulnerability Reward (OSS VRP) di Google per premiare le scoperte di vulnerabilità nei progetti open source di Google. In quanto responsabile di grandi progetti come Golang, Angular e Fuchsia, Google è tra i maggiori contributori e utenti di open source al mondo. Con l'aggiunta dell'OSS VRP di Google alla nostra famiglia di Vulnerability Bounty Programs (VRP), i ricercatori possono ora essere premiati per aver trovato bug che potrebbero potenzialmente influenzare l'intero ecosistema open source.
Le vulnerabilità sono un grosso problema, ha spiegato Google in un post sul blog. Ha detto che c'è stato un aumento del 650% degli attacchi mirati alla catena di fornitura del software open source lo scorso anno, provocando incidenti gravi come lo sfruttamento della vulnerabilità di Log4Shell.
"La caccia ai bug è uno strumento popolare non solo per migliorare la qualità delle offerte software, ma anche per aumentare la familiarità degli sviluppatori, fungendo da incentivo per un'interazione più profonda con il codice", ha affermato Holger Mueller di Constellation. Research Inc. "A questo proposito, è bello vedere che Google offre un'altra ricerca di bug, denominata Open Source Software Vulnerability Program. Tutti i parametri sono interessanti, le comunità di sviluppatori sono volubili, quindi vedremo come sarà la risposta e, soprattutto, quali difetti e un'ulteriore adozione delle piattaforme sottostanti si possono avere".
Il programma OSS VRP annunciato oggi fa parte di tale impegno.
D'altro canto, Google incoraggia i ricercatori a rivedere il codice del suo software open source e segnalare eventuali vulnerabilità che scoprono Google ha affermato che pagherà ricompense in base alla gravità della vulnerabilità e all'importanza del progetto, che vanno da $ 100 a $ 31,337. Taglie maggiori saranno pagate anche a più "vulnerabilità insolite o particolarmente interessanti", per le quali Google incoraggia i ricercatori a diventare creativi.
Oltre ai premi, gli utenti possono anche ricevere un riconoscimento pubblico per le loro scoperte, se lo desiderano. Per coloro che vogliono donare la loro ricompensa in beneficenza, Google ha affermato che abbinerà quei contributi dalla propria pila di denaro.
Google ha spiegato che i ricercatori dovrebbero concentrare i loro sforzi sulle versioni più aggiornate dei progetti di software open source che guida, che possono essere trovati nei repository pubblici sulla pagina GitHub di Google. La caccia ai bug si estende anche alle dipendenze di terze parti di quei progetti.
Infine se sei interessato a saperne di più sulla nota, puoi consultare la dichiarazione rilasciata da Google nel seguente link