Google mengembangkan portfolio program ganjarannya
Google telah mengesahkan komitmennya terhadap sumber terbuka dan telah dikeluarkan program baru untuk menyokong penyelidik keselamatan dan pemburu kesilapan yang menawarkan ganjaran tunai sesiapa sahaja yang mungkin menemui kelemahan dalam projek perisian sumber terbuka yang dipimpinnya.
Program Ganjaran diumumkan ialah tambahan terbaharu kepada keluarga program hadiah kerentanan Google dan memberi tumpuan kepada pengkaji yang memberi ganjaran yang mencari pepijat yang boleh membahayakan beberapa projek sumber terbuka yang paling banyak digunakan di dunia.
Ditubuhkan untuk mengimbangi dan berterima kasih kepada mereka yang membantu menjadikan kod Google lebih selamat, program VRP asal adalah salah satu yang pertama di dunia dan kini menghampiri ulang tahunnya yang ke-12. Dari masa ke masa, barisan VRP kami telah berkembang untuk memasukkan program yang memfokuskan pada Chrome, Android dan kawasan lain. Secara kolektif, program ini telah memberi ganjaran kepada lebih daripada 13 penyerahan, dengan jumlah pembayaran lebih daripada $000 juta.
Sebanyak yang akan tahu, Google bertanggungjawab terutamanya untuk banyak projek sumber terbuka utama, seperti contoh Android, Golang, rangka kerja aplikasi web berasaskan TypeScript Angular dan sistem pengendalian Fuchsia untuk peranti rumah pintar seperti Nest.
Hari ini kami melancarkan Program Ganjaran Kerentanan Perisian Sumber Terbuka (OSS VRP) Google untuk memberi ganjaran kepada penemuan kelemahan dalam projek sumber terbuka Google. Sebagai bertanggungjawab untuk projek utama seperti Golang, Angular dan Fuchsia, Google ialah antara penyumbang dan pengguna sumber terbuka terbesar di dunia. Dengan penambahan OSS VRP Google kepada keluarga Program Bounty Vulnerability (VRP) kami, penyelidik kini boleh diberi ganjaran untuk mencari pepijat yang berpotensi menjejaskan keseluruhan ekosistem sumber terbuka.
Kerentanan adalah masalah besar, jelas Google dalam catatan blog. Mengatakan terdapat peningkatan 650% dalam serangan yang disasarkan kepada rantaian bekalan perisian sumber terbuka tahun lepas, mengakibatkan insiden besar seperti kelemahan Log4Shell dieksploitasi.
"Pemburuan pepijat ialah alat yang popular bukan sahaja untuk meningkatkan kualiti penawaran perisian, tetapi juga untuk meningkatkan kebiasaan pembangun sambil bertindak sebagai insentif untuk interaksi yang lebih mendalam dengan kod itu," kata Holger Mueller dari Constellation. Research Inc. "Dalam hal ini, adalah baik untuk melihat bahawa Google menawarkan carian pepijat lain, yang dilabelkan sebagai Program Kerentanan Perisian Sumber Terbuka. Semua parameter adalah menarik, komuniti pembangun berubah-ubah, jadi kami akan melihat bagaimana tindak balas akan diterima dan, lebih penting lagi, apakah kelemahan dan penggunaan lanjut platform asas yang boleh diperolehi."
Program OSS VRP yang diumumkan hari ini adalah sebahagian daripada komitmen itu.
Bagi pihaknya, Google menggalakkan penyelidik menyemak kod perisian sumber terbukanya dan melaporkan sebarang kelemahan yang mereka temui Google berkata ia akan membayar ganjaran berdasarkan keterukan kelemahan dan kepentingan projek itu, antara $100 hingga $31,337. Hadiah yang lebih besar juga akan dibayar kepada lebih banyak "kelemahan luar biasa atau sangat menarik", yang mana Google menggalakkan penyelidik untuk menjadi kreatif.
Selain ganjaran, pengguna juga boleh menerima pengiktirafan awam untuk penemuan mereka jika mereka memilihnya. Bagi mereka yang ingin mendermakan ganjaran mereka kepada badan amal, Google berkata ia akan memadankan sumbangan tersebut daripada longgokan tunainya sendiri.
Google menjelaskan bahawa penyelidik harus menumpukan usaha mereka pada versi terkini projek perisian sumber terbuka yang dipimpinnya, yang boleh didapati dalam repositori awam pada halaman GitHub Google. Pemburuan pepijat juga meluas kepada kebergantungan pihak ketiga bagi projek tersebut.
Akhirnya Sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya mengenai nota tersebut, anda boleh merujuk kenyataan yang dikeluarkan oleh Google dalam pautan berikut.