Google rozširuje svoje portfólio odmeňovacích programov
Google opäť potvrdil svoj záväzok voči open source a má to vydané nový program na podporu bezpečnostných výskumníkov a lovcov chýb ponúkajúcich peňažné odmeny ktokoľvek, kto by mohol objaviť zraniteľné miesta v projektoch open source softvéru, ktoré vedie.
Vyhlásený program odmien je najnovším prírastkom do rodiny programov odmeňovania zraniteľností spoločnosti Google a sa zameriava na odmeňovanie výskumníkov ktoré nájdu chyby, ktoré by mohli poškodiť niektoré z celosvetovo najpoužívanejších open source projektov.
Pôvodný program VRP, ktorý bol založený na kompenzáciu a poďakovanie tým, ktorí pomáhajú zvýšiť bezpečnosť kódu Google, bol jedným z prvých na svete a teraz sa blíži k 12. výročiu. Postupom času sa naša ponuka VRP rozšírila o programy zamerané na Chrome, Android a ďalšie oblasti. Dohromady tieto programy odmenili viac ako 13 000 príspevkov s celkovou výplatou viac ako 38 miliónov dolárov.
Ako mnohí budú vedieť, Google je primárne zodpovedný za množstvo veľkých open source projektov, taký je príklad Androidu, Golangu, webového aplikačného rámca Angular založeného na TypeScript a operačného systému Fuchsia pre inteligentné domáce zariadenia, ako je Nest.
Dnes spúšťame program odmeňovania softvérových chýb s otvoreným zdrojovým kódom (OSS VRP) od spoločnosti Google s cieľom odmeniť objavy zraniteľnosti v projektoch spoločnosti Google s otvoreným zdrojom. Google ako zodpovedný za veľké projekty ako Golang, Angular a Fuchsia patrí medzi najväčších prispievateľov a používateľov open source na svete. Vďaka pridaniu OSS VRP od Google do našej rodiny Vulnerability Bounty Programs (VRP) môžu teraz výskumníci byť odmenení za nájdenie chýb, ktoré by mohli potenciálne ovplyvniť celý open source ekosystém.
Zraniteľnosť je veľký problém, vysvetlil Google v blogovom príspevku. Povedal, že došlo k 650% nárastu cielených útokov do dodávateľského reťazca softvéru s otvoreným zdrojovým kódom v minulom roku, čo viedlo k veľkým incidentom, ako je zneužitie zraniteľnosti Log4Shell.
„Hľadanie chýb je obľúbeným nástrojom nielen na zlepšenie kvality softvérových ponúk, ale aj na zvýšenie povedomia vývojárov, pričom pôsobí ako stimul pre hlbšiu interakciu s kódom,“ povedal Holger Mueller z Constellation. Research Inc. je dobré vidieť, že Google ponúka ďalšie vyhľadávanie chýb s názvom Open Source Software Vulnerability Program. Všetky parametre sú atraktívne, komunity vývojárov sú nestále, takže uvidíme, aká bude odozva, a čo je dôležitejšie, aké nedostatky a ďalšie prijatie základných platforiem sa podarí získať.“
Dnes oznámený program OSS VRP je súčasťou tohto záväzku.
Pre jeho časť, Google vyzýva výskumníkov, aby skontrolovali jeho softvér s otvoreným zdrojovým kódom a nahlásili všetky zraniteľnosti že objavia Google uviedol, že zaplatí odmeny na základe závažnosti zraniteľnosti a dôležitosti projektu v rozmedzí od 100 do 31,337 XNUMX dolárov. Väčšie odmeny budú vyplatené aj za „nezvyčajnejšie alebo obzvlášť zaujímavé zraniteľnosti“, pre ktoré Google nabáda výskumníkov, aby boli kreatívni.
Okrem odmien môžu používatelia získať aj verejné uznanie za svoje objavy, ak sa tak rozhodnú. Pre tých, ktorí chcú venovať svoju odmenu na charitu, spoločnosť Google uviedla, že tieto príspevky porovná z vlastnej hromady peňazí.
Google vysvetlil, že výskumníci by mali zamerať svoje úsilie na najaktuálnejšie verzie otvorených softvérových projektov, ktoré vedie a ktoré možno nájsť vo verejných úložiskách na stránke Google GitHub. Hľadanie chýb sa rozširuje aj na závislosti týchto projektov od tretích strán.
Konečne Ak by ste mali záujem dozvedieť sa viac o poznámke, môžete si prečítať vyhlásenie vydané spoločnosťou Google v nasledujúci odkaz.