Google utökar sin portfölj av belöningsprogram
Google har bekräftat sitt engagemang för öppen källkod och har släppt den ett nytt program att stödja säkerhetsforskare och jägare av fel som erbjuder kontantbelöningar alla som kan upptäcka sårbarheter i de programvaruprojekt med öppen källkod han leder.
Belöningsprogrammet tillkännages är det senaste tillskottet till Googles familj av sårbarhetsprogram och fokuserar på att belöna forskare som hittar buggar som kan skada några av världens mest använda open source-projekt.
Etablerat för att kompensera och tacka dem som hjälper till att göra Googles kod säkrare, det ursprungliga VRP-programmet var ett av de första i världen och närmar sig nu sitt 12-årsjubileum. Med tiden har vårt VRP-sortiment utökats till att omfatta program fokuserade på Chrome, Android och andra områden. Tillsammans har dessa program belönat mer än 13 000 bidrag, med en total utbetalning på mer än $38 miljoner.
Som många vet, Google är primärt ansvarigt för många stora projekt med öppen källkod, sådant är exemplet med Android, Golang, det TypeScript-baserade webbapplikationsramverket Angular och operativsystemet Fuchsia för smarta hemenheter som Nest.
Idag lanserar vi Googles Open Source Software Vulnerability Reward Program (OSS VRP) för att belöna upptäckter av sårbarheter i Googles projekt med öppen källkod. Som ansvarig för stora projekt som Golang, Angular och Fuchsia är Google bland de största bidragsgivarna och användarna av öppen källkod i världen. Med tillägget av Googles OSS VRP till vår familj av Vulnerability Bounty Programs (VRP) kan forskare nu belönas för att hitta buggar som potentiellt kan påverka hela ekosystemet med öppen källkod.
Sårbarheter är ett stort problem, förklarade Google i ett blogginlägg. Sa att det var en 650% ökning av riktade attacker till leveranskedjan för öppen källkod förra året, vilket resulterade i att stora incidenter som Log4Shell-sårbarheten utnyttjades.
"Buggjakt är ett populärt verktyg inte bara för att förbättra kvaliteten på programvaruerbjudanden, utan också för att öka utvecklarens förtrogenhet samtidigt som det fungerar som ett incitament för djupare interaktion med koden", säger Holger Mueller från Constellation. Research Inc. "I detta avseende, det är bra att se att Google erbjuder ytterligare en buggsökning, märkt Open Source Software Vulnerability Program. Alla parametrar är attraktiva, utvecklargemenskaperna är ombytliga, så vi kommer att se hur responsen kommer att bli och, ännu viktigare, vilka brister och ytterligare adoption av de underliggande plattformarna som kan erhållas.”
OSS VRP-programmet som tillkännages idag är en del av det åtagandet.
För sin del, Google uppmuntrar forskare att granska dess öppen källkod och rapportera eventuella sårbarheter som de upptäcker Google sa att de kommer att betala ut belöningar baserat på hur allvarligt sårbarheten är och projektets betydelse, från $100 till $31,337. Större belöningar kommer också att betalas ut till mer "ovanliga eller särskilt intressanta sårbarheter", för vilka Google uppmuntrar forskare att vara kreativa.
Förutom belöningar kan användare också få offentligt erkännande för sina upptäckter om de så önskar. För dem som vill donera sin belöning till välgörenhet, sa Google att det kommer att matcha dessa bidrag från sin egen kontanthög.
Google förklarade att forskare borde fokusera sina ansträngningar på de mest uppdaterade versionerna av programvaruprojekt med öppen källkod som det leder, som kan hittas i offentliga arkiv på Googles GitHub-sida. Buggjakten sträcker sig också till tredjepartsberoenden för dessa projekt.
Slutligen Om du är intresserad av att kunna veta mer om det om anteckningen, kan du läsa uttalandet från Google i följande länk.