Google zgjeron portofolin e saj të programeve të shpërblimeve
Google ka riafirmuar angazhimin e saj ndaj burimit të hapur dhe e ka lëshuar një program të ri për të mbështetur studiuesit dhe gjuetarët e sigurisë të gabimeve që ofrojnë shpërblime në para kushdo që mund të zbulojë dobësi në projektet e softuerit me burim të hapur që ai drejton.
Programi i Shpërblimeve u njoftua është shtesa më e fundit në familjen e programeve të shpërblimit të cenueshmërisë së Google dhe fokusohet në shpërblimin e studiuesve që gjejnë gabime që mund të dëmtojnë disa nga projektet me burim të hapur më të përdorura në botë.
I krijuar për të kompensuar dhe falënderuar ata që ndihmojnë për ta bërë kodin e Google më të sigurt, programi origjinal VRP ishte një nga të parët në botë dhe tani po i afrohet 12 vjetorit të tij. Me kalimin e kohës, formacioni ynë VRP është zgjeruar për të përfshirë programe të fokusuara në Chrome, Android dhe fusha të tjera. Së bashku, këto programe kanë shpërblyer më shumë se 13 aplikime, me një pagesë totale prej më shumë se 000 milion dollarë.
Siç do ta dinë shumë, Google është kryesisht përgjegjës për shumë projekte të mëdha me burim të hapur, i tillë është shembulli i Android, Golang, korniza e aplikacionit në ueb të bazuar në TypeScript Angular dhe sistemi operativ Fuchsia për pajisjet shtëpiake inteligjente si Nest.
Sot ne po lançojmë Programin e Shpërblimit të Softuerit me Burim të Hapur të Google (OSS VRP) për të shpërblyer zbulimet e cenueshmërisë në projektet me burim të hapur të Google. Si përgjegjës për projekte të mëdha si Golang, Angular dhe Fuchsia, Google është ndër kontribuuesit dhe përdoruesit më të mëdhenj të burimit të hapur në botë. Me shtimin e OSS VRP të Google në familjen tonë të Programeve Bounty për Vulnerabilitet (VRPs), studiuesit tani mund të shpërblehen për gjetjen e gabimeve që mund të ndikojnë potencialisht në të gjithë ekosistemin me burim të hapur.
Dobësitë janë një problem i madh, shpjegoi Google në një postim në blog. Tha se kishte një rritje prej 650% në sulmet e synuara në zinxhirin e furnizimit të softuerit me burim të hapur vitin e kaluar, duke rezultuar në incidente të mëdha, të tilla si cenueshmëria Log4Shell duke u shfrytëzuar.
"Gjuetia e defekteve është një mjet popullor jo vetëm për përmirësimin e cilësisë së ofertave të softuerit, por edhe për rritjen e njohjes së zhvilluesve duke vepruar si një nxitje për ndërveprim më të thellë me kodin," tha Holger Mueller nga Constellation. Research Inc. "Në këtë drejtim, është mirë të shohësh se Google ofron një kërkim tjetër të gabimeve, të emërtuar Programi i dobësisë së softuerit me burim të hapur. Të gjithë parametrat janë tërheqës, komunitetet e zhvilluesve janë të paqëndrueshëm, kështu që ne do të shohim se si do të jetë përgjigja dhe, më e rëndësishmja, cilat të meta dhe miratimi i mëtejshëm i platformave themelore mund të arrihet."
Programi OSS VRP i shpallur sot është pjesë e këtij angazhimi.
Nga ana e saj, Google inkurajon studiuesit të rishikojnë kodin e softuerit me burim të hapur dhe të raportojnë çdo dobësi që ata zbulojnë Google tha se do të paguajë shpërblime bazuar në ashpërsinë e cenueshmërisë dhe rëndësinë e projektit, duke filluar nga 100 dollarë në 31,337 dollarë. Bontime më të mëdha do t'u paguhen gjithashtu më "dobësive të pazakonta ose veçanërisht interesante", për të cilat Google inkurajon studiuesit të bëhen krijues.
Përveç shpërblimeve, përdoruesit mund të marrin gjithashtu njohje publike për zbulimet e tyre nëse ata dëshirojnë. Për ata që duan të dhurojnë shpërblimin e tyre për bamirësi, Google tha se do të përputhet me ato kontribute nga grumbulli i tij i parave.
Google shpjegoi se studiuesit duhet të fokusojnë përpjekjet e tyre në versionet më të përditësuara të projekteve të softuerit me burim të hapur që ai drejton, të cilat mund të gjenden në depot publike në faqen GitHub të Google. Gjuetia e defekteve shtrihet edhe në varësitë e palëve të treta të atyre projekteve.
Më në fund Nëse jeni të interesuar të jeni në gjendje të dini më shumë rreth tij në lidhje me shënimin, mund të konsultoni deklaratën e lëshuar nga Google në lidhja vijuese.