„Google“ plečia savo apdovanojimų programų portfelį
„Google“ dar kartą patvirtino savo įsipareigojimą naudoti atvirąjį kodą ir išleido nauja programa remti saugumo tyrinėtojus ir medžiotojus klaidų, siūlančių piniginį atlygį visiems, kurie gali atrasti jo vadovaujamų atvirojo kodo programinės įrangos projektų pažeidžiamumą.
Paskelbta apdovanojimų programa yra naujausias „Google“ pažeidžiamumo premijų programų šeimos papildymas ir dėmesys skiriamas tyrėjų atlyginimui kurie randa klaidų, galinčių pakenkti kai kuriems plačiausiai pasaulyje naudojamiems atvirojo kodo projektams.
Sukurta siekiant kompensuoti ir padėkoti tiems, kurie padeda padaryti „Google“ kodą saugesnį, originali VRP programa buvo viena pirmųjų pasaulyje ir dabar artėja prie 12-osios metinės. Laikui bėgant, mūsų VRP asortimentas išsiplėtė, įtraukdamas programas, skirtas „Chrome“, „Android“ ir kitoms sritims. Kartu šios programos buvo apdovanotos daugiau nei 13 000 paraiškų, kurių bendra išmoka viršija 38 mln. USD.
Kaip daugelis žinos, „Google“ pirmiausia atsakinga už daugybę didelių atvirojo kodo projektų, toks yra „Android“, „Golang“, „TypeScript“ pagrįstos žiniatinklio programų sistemos „Angular“ ir „Fuchsia“ operacinės sistemos, skirtos išmaniesiems namų įrenginiams, pvz., „Nest“, pavyzdys.
Šiandien pradedame „Google“ atvirojo kodo programinės įrangos pažeidžiamumo apdovanojimo programą (OSS VRP), kad atsilygintume už pažeidžiamumo atradimus „Google“ atvirojo kodo projektuose. Atsakinga už didelius projektus, tokius kaip „Golang“, „Angular“ ir „Fuchsia“, „Google“ yra viena didžiausių atvirojo kodo kūrėjų ir naudotojų pasaulyje. Pridėjus „Google“ OSS VRP į mūsų pažeidžiamumo premijų programų (VRP) šeimą, mokslininkai dabar gali būti apdovanoti už tai, kad rado klaidų, kurios gali turėti įtakos visai atvirojo kodo ekosistemai.
„Google“ paaiškino, kad pažeidžiamumas yra didelė problema dienoraščio įraše. Sakė, kad tikslinių atakų padaugėjo 650 proc praėjusiais metais atsidūrė atvirojo kodo programinės įrangos tiekimo grandinėje, todėl buvo išnaudojami dideli incidentai, tokie kaip „Log4Shell“ pažeidžiamumas.
„Klaidų medžioklė yra populiari priemonė ne tik gerinant programinės įrangos kokybę, bet ir siekiant pagerinti kūrėjų pažinimą, tuo pačiu skatinant gilesnę sąveiką su kodu“, – sakė Holgeris Muelleris iš „Constellation. Research Inc.“. malonu matyti, kad „Google“ siūlo dar vieną klaidų paiešką, pavadintą Atvirojo kodo programinės įrangos pažeidžiamumo programa. Visi parametrai patrauklūs, kūrėjų bendruomenės nepastovios, tad pamatysime, kaip bus atsakyta, o dar svarbiau – kokių trūkumų ir tolesnio pagrindinių platformų pritaikymo bus galima gauti.
Šiandien paskelbta OSS VRP programa yra šio įsipareigojimo dalis.
Savo ruožtu, „Google“ ragina tyrėjus peržiūrėti atvirojo kodo programinės įrangos kodą ir pranešti apie visus pažeidžiamumus kad jie atranda „Google“ teigė, kad ji mokės nuo 100 iki 31,337 XNUMX USD, atsižvelgdama į pažeidžiamumo sunkumą ir projekto svarbą. Didesnės premijos taip pat bus mokamos už „neįprastesnius ar ypač įdomius pažeidžiamumus“, dėl kurių „Google“ skatina tyrėjus būti kūrybiškiems.
Be apdovanojimų, vartotojai taip pat gali gauti viešą pripažinimą už savo atradimus, jei taip nori. Tiems, kurie nori paaukoti savo atlygį labdarai, „Google“ teigė, kad ji atitiks tuos įnašus iš savo pinigų krūvos.
„Google“ paaiškino, kad mokslininkai turėtų sutelkti savo pastangas į naujausias jos vadovaujamų atvirojo kodo programinės įrangos projektų versijas, kurias galima rasti viešose saugyklose „Google“ GitHub puslapyje. Klaidų medžioklė taip pat apima tų projektų priklausomybę nuo trečiųjų šalių.
Pagaliau jei norite sužinoti daugiau apie užrašą, galite peržiūrėti „Google“ paskelbtą pareiškimą sekanti nuoroda.