Google utvider sin portefølje av belønningsprogrammer
Google har bekreftet sin forpliktelse til åpen kildekode og har den utgitt et nytt program for å støtte sikkerhetsforskere og jegere av feil som tilbyr kontantbelønninger alle som kan oppdage sårbarheter i programvareprosjektene med åpen kildekode han leder.
Belønningsprogrammet annonsert er det siste tilskuddet til Googles familie av sårbarhetspremieprogrammer og fokuserer på å belønne forskere som finner feil som kan skade noen av verdens mest brukte åpen kildekode-prosjekter.
Etablert for å kompensere og takke de som hjelper til med å gjøre Googles kode sikrere, det originale VRP-programmet var et av de første i verden og nærmer seg nå 12-årsjubileet. Over tid har VRP-utvalget vårt utvidet til å omfatte programmer fokusert på Chrome, Android og andre områder. Til sammen har disse programmene belønnet mer enn 13 000 bidrag, med en total utbetaling på mer enn $38 millioner.
Som mange vil vite, Google er hovedansvarlig for en rekke store åpen kildekode-prosjekter, slik er eksempelet på Android, Golang, det TypeScript-baserte nettapplikasjonsrammeverket Angular, og Fuchsia-operativsystemet for smarthusenheter som Nest.
I dag lanserer vi Googles Open Source Software Vulnerability Reward Program (OSS VRP) for å belønne sårbarhetsoppdagelser i Googles åpen kildekode-prosjekter. Som ansvarlig for store prosjekter som Golang, Angular og Fuchsia, er Google blant de største bidragsyterne og brukerne av åpen kildekode i verden. Med tillegg av Googles OSS VRP til vår familie av sårbarhetspremieprogrammer (VRP), kan forskere nå bli belønnet for å finne feil som potensielt kan påvirke hele åpen kildekode-økosystemet.
Sårbarheter er et stort problem, forklarte Google i et blogginnlegg. Sa at det var en 650 % økning i målrettede angrep til forsyningskjeden for åpen kildekode i fjor, noe som resulterte i at store hendelser som Log4Shell-sårbarheten ble utnyttet.
"Feiljakt er et populært verktøy, ikke bare for å forbedre kvaliteten på programvaretilbud, men også for å øke utviklerkjennskapen samtidig som den fungerer som et insentiv for dypere interaksjon med koden," sa Holger Mueller fra Constellation. Research Inc. "I denne forbindelse, det er godt å se at Google tilbyr et nytt feilsøk, kalt Open Source Software Vulnerability Program. Alle parametrene er attraktive, utviklermiljøene er ustadige, så vi vil se hvordan responsen blir og, enda viktigere, hvilke feil og videre bruk av de underliggende plattformene som kan oppnås.»
OSS VRP-programmet kunngjort i dag er en del av denne forpliktelsen.
For sin del, Google oppfordrer forskere til å gå gjennom programvarekoden for åpen kildekode og rapportere eventuelle sårbarheter som de oppdager Google sa at de vil utbetale dusører basert på alvorlighetsgraden av sårbarheten og viktigheten av prosjektet, fra $100 til $31,337. Større dusører vil også bli utbetalt til mer «uvanlige eller spesielt interessante sårbarheter», som Google oppfordrer forskere til å være kreative for.
I tillegg til belønninger kan brukere også motta offentlig anerkjennelse for sine oppdagelser hvis de ønsker det. For de som ønsker å donere belønningen sin til veldedighet, sa Google at det vil matche bidragene fra sin egen pengebunke.
Google forklarte at forskere bør fokusere sin innsats på de mest oppdaterte versjonene av programvareprosjektene med åpen kildekode den leder, som kan finnes i offentlige depoter på Googles GitHub-side. Feiljakten strekker seg også til tredjepartsavhengighetene til disse prosjektene.
Endelig hvis du er interessert i å vite mer om notatet, kan du se erklæringen utstedt av Google i følgende lenke.