Google confirma seu compromisso com o código aberto e lança outro programa de recompensas por bugs 

Google

Google expande seu portfólio de programas de recompensas

O Google reafirmou seu compromisso com o código aberto e já foi lançado um novo programa para apoiar pesquisadores e caçadores de segurança de erros oferecendo recompensas em dinheiro qualquer um que possa descobrir vulnerabilidades nos projetos de software de código aberto que ele lidera.

O Programa de Recompensas anunciado é a mais recente adição à família de programas de recompensa por vulnerabilidades do Google e concentra-se em recompensar pesquisadores que encontram bugs que podem prejudicar alguns dos projetos de código aberto mais usados ​​no mundo.

Criado para compensar e agradecer aqueles que ajudam a tornar o código do Google mais seguro, o programa VRP original foi um dos primeiros do mundo e agora está chegando ao seu 12º aniversário. Com o tempo, nossa linha de VRP se expandiu para incluir programas focados no Chrome, Android e outras áreas. Coletivamente, esses programas recompensaram mais de 13 inscrições, com um pagamento total de mais de US$ 000 milhões.

Como muitos saberão, O Google é o principal responsável por vários grandes projetos de código aberto, esse é o exemplo do Android, Golang, a estrutura de aplicativos da Web baseada em TypeScript Angular e o sistema operacional Fuchsia para dispositivos domésticos inteligentes como o Nest.

Hoje estamos lançando o Open Source Software Vulnerability Reward Program (OSS VRP) do Google para recompensar as descobertas de vulnerabilidades nos projetos de código aberto do Google. Como responsável por grandes projetos como Golang, Angular e Fuchsia, o Google está entre os maiores contribuidores e usuários de código aberto do mundo. Com a adição do OSS VRP do Google à nossa família de Vulnerability Bounty Programs (VRPs), os pesquisadores agora podem ser recompensados ​​por encontrar bugs que possam afetar todo o ecossistema de código aberto.

Vulnerabilidades são um grande problema, explicou o Google em uma postagem de blog. Disse que houve um aumento de 650% nos ataques direcionados para a cadeia de fornecimento de software de código aberto no ano passado, resultando em grandes incidentes como a vulnerabilidade Log4Shell sendo explorada.

"A caça de bugs é uma ferramenta popular não apenas para melhorar a qualidade das ofertas de software, mas também para aumentar a familiaridade do desenvolvedor enquanto atua como um incentivo para uma interação mais profunda com o código", disse Holger Mueller, da Constellation. Research Inc. é bom ver que o Google oferece outra pesquisa de bugs, chamada Programa de Vulnerabilidade de Software de Código Aberto. Todos os parâmetros são atraentes, as comunidades de desenvolvedores são inconstantes, então veremos como será a resposta e, mais importante, quais falhas e adoção adicional das plataformas subjacentes podem ser obtidas.”

O programa OSS VRP anunciado hoje faz parte desse compromisso.

Por sua parte, o O Google incentiva os pesquisadores a revisar seu código de software de código aberto e relatar quaisquer vulnerabilidades que eles descubram O Google disse que pagará recompensas com base na gravidade da vulnerabilidade e na importância do projeto, variando de US$ 100 a US$ 31,337. Recompensas maiores também serão pagas a mais "vulnerabilidades incomuns ou particularmente interessantes", para as quais o Google incentiva os pesquisadores a serem criativos.

Além das recompensas, os usuários também podem receber reconhecimento público por suas descobertas, se assim o desejarem. Para aqueles que desejam doar sua recompensa para instituições de caridade, o Google disse que corresponderá a essas contribuições de sua própria pilha de dinheiro.

O Google explicou que os pesquisadores devem concentrar seus esforços nas versões mais atualizadas dos projetos de software de código aberto que lidera, que podem ser encontrados em repositórios públicos na página GitHub do Google. A caça ao bug também se estende às dependências de terceiros desses projetos.

Finalmente Se você estiver interessado em saber mais sobre isso sobre a nota, você pode consultar o extrato emitido pelo Google no link a seguir


Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.