Google širi svoj portfelj programov nagrajevanja
Google je znova potrdil svojo zavezanost odprtokodnosti in ga je izdal nov program za podporo varnostnim raziskovalcem in lovcem napak, ki ponujajo denarne nagrade vsakogar, ki bi lahko odkril ranljivosti v projektih odprtokodne programske opreme, ki jih vodi.
Objavljen program nagrajevanja je najnovejši dodatek k Googlovi družini programov nagrad za ranljivost in se osredotoča na nagrajevanje raziskovalcev ki najdejo hrošče, ki bi lahko škodili nekaterim najbolj razširjenim odprtokodnim projektom na svetu.
Prvotni program VRP, ustanovljen kot nadomestilo in zahvala tistim, ki pomagajo narediti Googlovo kodo bolj varno, je bil eden prvih na svetu in se zdaj bliža 12. obletnici. Sčasoma se je naša linija VRP razširila na programe, osredotočene na Chrome, Android in druga področja. Skupaj so ti programi nagradili več kot 13 prispevkov s skupnim izplačilom v višini več kot 000 milijonov dolarjev.
Kot bodo mnogi vedeli, Google je v prvi vrsti odgovoren za številne velike odprtokodne projekte, tak je primer Androida, Golanga, ogrodja spletnih aplikacij Angular, ki temelji na TypeScriptu, in operacijskega sistema Fuchsia za pametne domače naprave, kot je Nest.
Danes začenjamo Googlov program nagrajevanja ranljivosti odprtokodne programske opreme (OSS VRP) za nagrajevanje odkritij ranljivosti v Googlovih odprtokodnih projektih. Kot odgovoren za velike projekte, kot so Golang, Angular in Fuchsia, je Google med največjimi sodelavci in uporabniki odprte kode na svetu. Z dodatkom Googlovega OSS VRP naši družini programov nagrad za ranljivost (VRP) so lahko raziskovalci zdaj nagrajeni za iskanje hroščev, ki bi lahko vplivali na celoten odprtokodni ekosistem.
Ranljivosti so velik problem, je pojasnil Google v objavi v blogu. Rekel je, da se je število ciljnih napadov povečalo za 650 % lani v dobavno verigo odprtokodne programske opreme, kar je povzročilo večje incidente, kot je izkoriščanje ranljivosti Log4Shell.
»Lov na hrošče je priljubljeno orodje ne le za izboljšanje kakovosti ponudbe programske opreme, ampak tudi za povečanje poznavanja razvijalcev, hkrati pa deluje kot spodbuda za globljo interakcijo s kodo,« je dejal Holger Mueller iz Constellation. Research Inc. »V zvezi s tem, dobro je videti, da Google ponuja še eno iskanje hroščev, označeno z Open Source Software Vulnerability Program. Vsi parametri so privlačni, skupnosti razvijalcev so nestanovitne, zato bomo videli, kakšen bo odziv in, kar je še pomembneje, kakšne pomanjkljivosti in nadaljnje sprejemanje osnovnih platform lahko dosežemo.«
Program OSS VRP, objavljen danes, je del te zaveze.
Na svoji strani Google spodbuja raziskovalce, naj pregledajo kodo odprtokodne programske opreme in prijavijo morebitne ranljivosti ki jih odkrijejo Google je dejal, da bo plačal nagrade glede na resnost ranljivosti in pomembnost projekta, in sicer od 100 do 31,337 dolarjev. Večje nagrade bodo izplačane tudi bolj "nenavadnim ali posebej zanimivim ranljivostim", za katere Google spodbuja raziskovalce, naj postanejo ustvarjalni.
Poleg nagrad lahko uporabniki prejmejo tudi javno priznanje za svoja odkritja, če se tako odločijo. Za tiste, ki želijo darovati svojo nagrado v dobrodelne namene, je Google dejal, da bo te prispevke izenačil s svojim denarjem.
Google je pojasnil, da bi morali raziskovalci svoja prizadevanja osredotočiti na najnovejše različice projektov odprtokodne programske opreme, ki jih vodi in jih je mogoče najti v javnih repozitorijih na Googlovi strani GitHub. Lov na hrošče se razširi tudi na odvisnosti teh projektov od tretjih oseb.
Končno Če vas zanima, če bi lahko o tem vedeli več o opombi, si lahko ogledate izjavo, ki jo je izdal Google v naslednja povezava.