Google はオープンソースへの取り組みを再確認しました そしてリリースしました 新しいプログラム セキュリティ研究者とハンターをサポートする 現金報酬を提供するエラーの 彼が率いるオープンソース ソフトウェア プロジェクトの脆弱性を発見する可能性のある人なら誰でも。
報酬プログラムが発表されました は、Google の一連の脆弱性報奨金プログラムに新たに追加されたものであり、 研究者への報酬を重視 世界で最も広く使用されているオープン ソース プロジェクトのいくつかに害を及ぼす可能性のあるバグを見つけます。
Google のコードをより安全にするために貢献した人々への補償と感謝のために設立された元の VRP プログラムは、世界で最初のプログラムの 12 つであり、現在 13 周年を迎えようとしています。 時間の経過とともに、VRP のラインナップが拡大し、Chrome、Android、およびその他の分野に焦点を当てたプログラムが含まれるようになりました。 合計すると、これらのプログラムは 000 件以上の提出物に報い、合計で 38 万ドル以上の支払いが行われました。
多くの人が知っているように、 Google は主に多数の主要なオープンソース プロジェクトを担当しており、 Android、Golang、TypeScript ベースの Web アプリケーション フレームワークである Angular、Nest などのスマート ホーム デバイス向けの Fuchsia オペレーティング システムがその例です。
本日、Google の Open Source Software Vulnerability Reward Program (OSS VRP) を開始し、Google のオープン ソース プロジェクトで発見された脆弱性に報いることができます。 Golang、Angular、Fuchsia などの主要なプロジェクトを担当する Google は、世界最大のオープン ソースのコントリビューターおよびユーザーの XNUMX つです。 脆弱性報奨金プログラム (VRP) のファミリーに Google の OSS VRP が追加されたことで、研究者は、オープン ソース エコシステム全体に影響を与える可能性のあるバグを発見したことに対して報酬を得ることができるようになりました。
脆弱性は大きな問題だ、とGoogleは説明した ブログ投稿で。 標的型攻撃が 650% 増加したと述べた 昨年、オープンソース ソフトウェアのサプライ チェーンに影響を与え、Log4Shell の脆弱性が悪用されるなどの重大なインシデントが発生しました。
Constellation の Holger Mueller 氏は次のように述べています。 Google が Open Source Software Vulnerability Program というラベルの付いた別のバグ検索を提供していることを知ってうれしい。 すべてのパラメーターは魅力的であり、開発者コミュニティは気まぐれです。そのため、反応がどのようになるか、さらに重要なことに、基盤となるプラットフォームのどのような欠陥とさらなる採用が得られるかを見ていきます。」
本日発表された OSS VRP プログラムは、その取り組みの一環です。
その部分については、 Google は研究者に対し、オープンソース ソフトウェア コードをレビューし、脆弱性を報告することを推奨しています 彼らが発見するGoogle は、脆弱性の重大度とプロジェクトの重要性に基づいて、100 ドルから 31,337 ドルの範囲で報奨金を支払うと述べました。 また、より多くの報奨金が、より多くの「珍しい、または特に興味深い脆弱性」に支払われます。Google は、研究者に創造力を働かせることを奨励しています。
報酬に加えて、ユーザーは、選択した場合、発見に対する公の認識を受け取ることもできます。 報酬を慈善団体に寄付したい人のために、グーグルは、それが自身の現金山からの寄付と同額になると述べた.
Google は、研究者は、Google の GitHub ページのパブリック リポジトリにある、Google が主導するオープン ソース ソフトウェア プロジェクトの最新バージョンに注力する必要があると説明しました。 バグ ハントは、これらのプロジェクトのサード パーティの依存関係にも適用されます。
最後に あなたがメモについてそれについてもっと知ることができることに興味があるならで、Google が発行した声明を参照できます。 次のリンク。