Google rozszerza swoje portfolio programów nagród
Google potwierdziło swoje zaangażowanie w open source i czy to zostało wydane nowy program wspierać badaczy bezpieczeństwa i myśliwych błędów oferujących nagrody pieniężne każdy, kto mógłby odkryć luki w projektach oprogramowania open source, którymi kieruje.
Ogłoszono Program Nagród to najnowszy dodatek do rodziny programów nagród Google za luki w zabezpieczeniach i skupia się na nagradzaniu naukowców które znajdują błędy, które mogą zaszkodzić niektórym z najpopularniejszych na świecie projektów open source.
Stworzony, aby wynagrodzić i podziękować tym, którzy pomagają zwiększyć bezpieczeństwo kodu Google, oryginalny program VRP był jednym z pierwszych na świecie i zbliża się do swojej 12. rocznicy. Z biegiem czasu nasza oferta VRP poszerzyła się o programy skoncentrowane na Chrome, Android i innych obszarach. Łącznie programy te nagrodziły ponad 13 000 zgłoszeń, z łączną wypłatą ponad 38 milionów dolarów.
Jak wielu będzie wiedzieć, Google odpowiada przede wszystkim za wiele dużych projektów open source, taki jest przykład Androida, Golanga, opartego na TypeScript frameworku aplikacji internetowych Angular i systemu operacyjnego Fuchsia dla inteligentnych urządzeń domowych, takich jak Nest.
Dziś uruchamiamy program Google Open Source Software Reward Program (OSS VRP), aby nagradzać odkrycia luk w zabezpieczeniach w projektach Google typu open source. Jako osoba odpowiedzialna za duże projekty, takie jak Golang, Angular i Fuchsia, Google jest jednym z największych współtwórców i użytkowników open source na świecie. Dzięki dodaniu Google OSS VRP do naszej rodziny programów Vulnerability Bounty (VRP) badacze mogą być teraz nagradzani za znajdowanie błędów, które mogą potencjalnie wpłynąć na cały ekosystem open source.
Luki to duży problem, wyjaśnił Google w poście na blogu. Stwierdzono, że liczba ataków ukierunkowanych wzrosła o 650% w łańcuchu dostaw oprogramowania open source w zeszłym roku, co doprowadziło do poważnych incydentów, takich jak wykorzystanie luki Log4Shell.
„Wykrywanie błędów to popularne narzędzie nie tylko poprawiające jakość oferowanego oprogramowania, ale także zwiększające zaznajomienie programistów z kodem, a jednocześnie zachęcające do głębszej interakcji z kodem” — powiedział Holger Mueller z Constellation. Research Inc. dobrze widzieć, że Google oferuje kolejne wyszukiwanie błędów, oznaczone jako Program luk w zabezpieczeniach oprogramowania Open Source. Wszystkie parametry są atrakcyjne, społeczności deweloperów zmienne, więc zobaczymy, jaka będzie reakcja i, co ważniejsze, jakie wady i dalsze adaptacje bazowych platform można uzyskać.”
Ogłoszony dzisiaj program OSS VRP jest częścią tego zobowiązania.
Ze swojej strony, Google zachęca badaczy do przeglądania kodu oprogramowania open source i zgłaszania wszelkich luk w zabezpieczeniach że odkrywają Google powiedział, że wypłaci nagrody w zależności od powagi luki i znaczenia projektu, od 100 USD do 31,337 XNUMX USD. Większe nagrody będą również wypłacane za bardziej „niezwykłe lub szczególnie interesujące luki”, w przypadku których Google zachęca badaczy do kreatywności.
Oprócz nagród użytkownicy mogą również otrzymać publiczne uznanie za swoje odkrycia, jeśli zechcą. Dla tych, którzy chcą przekazać swoją nagrodę na cele charytatywne, Google powiedział, że dopasuje te datki z własnego stosu gotówki.
Google wyjaśnił, że badacze powinni skoncentrować swoje wysiłki na najbardziej aktualnych wersjach projektów oprogramowania open source, które prowadzi, które można znaleźć w publicznych repozytoriach na stronie Google GitHub. Polowanie na błędy obejmuje również zależności tych projektów od stron trzecich.
W końcu Jeśli chcesz dowiedzieć się więcej o notatce, możesz zapoznać się z oświadczeniem wydanym przez Google w następujący link.