Google își extinde portofoliul de programe de recompense
Google și-a reafirmat angajamentul față de open source și l-a eliberat un nou program pentru a sprijini cercetătorii și vânătorii de securitate de erori care oferă recompense în numerar oricine ar putea descoperi vulnerabilități în proiectele software open source pe care le conduce.
Programul de recompense a fost anunțat este cea mai recentă adăugare la familia Google de programe de recompensă pentru vulnerabilități și se concentrează pe recompensarea cercetătorilor care găsesc erori care ar putea dăuna unora dintre cele mai utilizate proiecte open source din lume.
Înființat pentru a compensa și a mulțumi celor care ajută la creșterea siguranței codului Google, programul VRP original a fost unul dintre primele din lume și se apropie acum de a 12-a aniversare. De-a lungul timpului, gama noastră de VRP s-a extins pentru a include programe axate pe Chrome, Android și alte domenii. În mod colectiv, aceste programe au recompensat peste 13 de trimiteri, cu o plată totală de peste 000 de milioane de dolari.
După cum mulți vor ști, Google este responsabil în primul rând pentru numeroase proiecte majore open source, acesta este exemplul Android, Golang, cadrul de aplicații web bazat pe TypeScript Angular și sistemul de operare Fuchsia pentru dispozitive inteligente de acasă precum Nest.
Astăzi lansăm Programul de recompensare a vulnerabilităților software cu sursă deschisă (OSS VRP) de la Google pentru a recompensa descoperirile de vulnerabilități în proiectele cu sursă deschisă ale Google. Ca responsabil pentru proiecte majore precum Golang, Angular și Fuchsia, Google se numără printre cei mai mari contribuitori și utilizatori de open source din lume. Odată cu adăugarea OSS VRP de la Google la familia noastră de programe Vulnerability Bounty (VRP), cercetătorii pot fi acum recompensați pentru găsirea erorilor care ar putea afecta întregul ecosistem open source.
Vulnerabilitățile sunt o mare problemă, a explicat Google într-o postare pe blog. A spus că a existat o creștere cu 650% a atacurilor țintite la lanțul de aprovizionare cu software open source anul trecut, ceea ce a dus la exploatarea unor incidente majore, cum ar fi vulnerabilitatea Log4Shell.
„Vânătoarea de bug-uri este un instrument popular nu numai pentru îmbunătățirea calității ofertelor de software, ci și pentru creșterea familiarității dezvoltatorilor, acționând în același timp ca un stimulent pentru o interacțiune mai profundă cu codul”, a declarat Holger Mueller de la Constellation. Research Inc. „În acest sens, este bine de văzut că Google oferă o altă căutare de erori, etichetată Open Source Software Vulnerability Program. Toți parametrii sunt atractivi, comunitățile de dezvoltatori sunt volubile, așa că vom vedea cum va fi răspunsul și, mai important, ce defecte și adoptarea ulterioară a platformelor subiacente pot fi obținute.”
Programul OSS VRP anunțat astăzi face parte din acest angajament.
La rândul său, Google încurajează cercetătorii să-și revizuiască codul software-ului open source și să raporteze orice vulnerabilități pe care le descoperă Google a declarat că va plăti recompense în funcție de gravitatea vulnerabilității și de importanța proiectului, variind de la 100 USD la 31,337 USD. Recompense mai mari vor fi plătite și pentru mai multe „vulnerabilitati neobișnuite sau deosebit de interesante”, pentru care Google încurajează cercetătorii să fie creativi.
Pe lângă recompense, utilizatorii pot primi și recunoaștere publică pentru descoperirile lor, dacă doresc acest lucru. Pentru cei care doresc să-și doneze recompensa către organizații de caritate, Google a spus că va egala aceste contribuții din propria grămadă de numerar.
Google a explicat că cercetătorii ar trebui să-și concentreze eforturile pe cele mai actualizate versiuni ale proiectelor software open source pe care le conduce, care pot fi găsite în depozitele publice de pe pagina GitHub a Google. Vânătoarea de erori se extinde și la dependențele de la terțe părți ale acelor proiecte.
În cele din urmă Dacă sunteți interesat să puteți afla mai multe despre aceasta despre notă, puteți consulta declarația emisă de Google în următorul link.