Kinukumpirma ng Google ang pangako nito sa open source at naglulunsad ng isa pang bug bounty program 

Google

Pinalawak ng Google ang portfolio nito ng mga reward program

Muling pinagtibay ng Google ang pangako nito sa open source at nailabas na isang bagong programa upang suportahan ang mga mananaliksik at mangangaso ng seguridad ng mga error na nag-aalok ng mga gantimpala ng pera sinumang maaaring makatuklas ng mga kahinaan sa mga open source na proyekto ng software na kanyang pinamumunuan.

Inihayag ng Rewards Program ay ang pinakabagong karagdagan sa pamilya ng Google ng mga programang bounty sa kahinaan at nakatutok sa nagbibigay-kasiyahan sa mga mananaliksik na nakakahanap ng mga bug na maaaring makapinsala sa ilan sa pinakamalawak na ginagamit na open source na mga proyekto sa mundo.

Itinatag upang magbayad at magpasalamat sa mga tumulong na gawing mas secure ang code ng Google, ang orihinal na VRP program ay isa sa mga una sa mundo at papalapit na ngayon sa ika-12 anibersaryo nito. Sa paglipas ng panahon, lumawak ang aming lineup ng VRP upang isama ang mga program na nakatuon sa Chrome, Android, at iba pang mga lugar. Sama-sama, ang mga programang ito ay nagbigay ng gantimpala ng higit sa 13 pagsusumite, na may kabuuang payout na higit sa $000 milyon.

Tulad ng maraming makakaalam, Pangunahing responsable ang Google para sa maraming pangunahing open source na proyekto, ganyan ang halimbawa ng Android, Golang, ang TypeScript-based na web application framework na Angular, at ang Fuchsia operating system para sa mga smart home device tulad ng Nest.

Ngayon inilulunsad namin ang Open Source Software Vulnerability Reward Program (OSS VRP) ng Google upang gantimpalaan ang mga pagtuklas sa kahinaan sa mga open source na proyekto ng Google. Bilang responsable para sa mga pangunahing proyekto gaya ng Golang, Angular, at Fuchsia, ang Google ay kabilang sa pinakamalaking nag-ambag at gumagamit ng open source sa mundo. Sa pagdaragdag ng OSS VRP ng Google sa aming pamilya ng Vulnerability Bounty Programs (VRPs), maaari na ngayong gantimpalaan ang mga mananaliksik para sa paghahanap ng mga bug na posibleng makaapekto sa buong open source ecosystem.

Ang mga kahinaan ay isang malaking problema, ipinaliwanag ng Google sa isang blog post. Sinabi na mayroong 650% na pagtaas sa mga naka-target na pag-atake sa open source software supply chain noong nakaraang taon, na nagreresulta sa mga pangunahing insidente tulad ng pagiging mapagsamantala sa kahinaan ng Log4Shell.

"Ang pangangaso ng bug ay isang sikat na tool hindi lamang para sa pagpapabuti ng kalidad ng mga handog ng software, ngunit para din sa pagpapataas ng pagiging pamilyar ng developer habang kumikilos bilang isang insentibo para sa mas malalim na pakikipag-ugnayan sa code," sabi ni Holger Mueller ng Constellation. Research Inc. "Sa bagay na ito, magandang makita na nag-aalok ang Google ng isa pang paghahanap sa bug, na may label na Open Source Software Vulnerability Program. Ang lahat ng mga parameter ay kaakit-akit, ang mga komunidad ng developer ay pabagu-bago, kaya makikita natin kung paano ang magiging tugon at, higit sa lahat, kung anong mga depekto at karagdagang pag-aampon ng mga pinagbabatayan na platform ang maaaring makuha."

Ang OSS VRP program na inihayag ngayon ay bahagi ng pangakong iyon.

Para sa bahagi nito, Hinihikayat ng Google ang mga mananaliksik na suriin ang open source na software code at iulat ang anumang mga kahinaan na kanilang natuklasan Sinabi ng Google na magbabayad ito ng mga bounty batay sa kalubhaan ng kahinaan at ang kahalagahan ng proyekto, mula $100 hanggang $31,337. Ang mas malalaking bounty ay babayaran din sa mas "hindi pangkaraniwan o partikular na kawili-wiling mga kahinaan," kung saan hinihikayat ng Google ang mga mananaliksik na maging malikhain.

Bilang karagdagan sa mga reward, makakatanggap din ang mga user ng pampublikong pagkilala para sa kanilang mga natuklasan kung pipiliin nila. Para sa mga gustong mag-donate ng kanilang reward sa charity, sinabi ng Google na tutugma ito sa mga kontribusyon mula sa sarili nitong cash pile.

Ipinaliwanag ng Google na dapat ituon ng mga mananaliksik ang kanilang mga pagsisikap sa mga pinakabagong bersyon ng mga open source na proyekto ng software na pinamumunuan nito, na makikita sa mga pampublikong repositoryo sa pahina ng GitHub ng Google. Ang paghahanap ng bug ay umaabot din sa mga third-party na dependency ng mga proyektong iyon.

Sa wakas Kung interesado kang malaman ang tungkol dito tungkol sa tala, maaari mong konsultahin ang pahayag na ibinigay ng Google sa sumusunod na link.


Maging una sa komento

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.