Google розширює свій портфель програм винагород
Google підтвердив свою прихильність відкритому коду і випустив його нова програма для підтримки дослідників безпеки та мисливців помилок, що пропонують грошову винагороду кожен, хто може виявити вразливі місця в проектах програмного забезпечення з відкритим кодом, які він очолює.
Оголошено програму винагород є останнім доповненням до сімейства програм винагороди за вразливість Google фокусується на винагороді дослідників які знаходять помилки, які можуть зашкодити деяким із найпоширеніших у світі проектів із відкритим кодом.
Оригінальна програма VRP, створена для компенсації та подяки тим, хто допомагає зробити код Google більш безпечним, була однією з перших у світі та зараз наближається до свого 12-річчя. Згодом наша лінійка VRP розширилася за рахунок програм, орієнтованих на Chrome, Android та інші області. Разом ці програми винагородили понад 13 000 заявок із загальною виплатою понад 38 мільйонів доларів США.
Як багато хто знатиме, Google несе головну відповідальність за численні великі проекти з відкритим кодом, таким є приклад Android, Golang, фреймворку веб-додатків на основі TypeScript Angular та операційної системи Fuchsia для розумних домашніх пристроїв, таких як Nest.
Сьогодні ми запускаємо Програму винагороди Google за виявлення вразливостей програмного забезпечення з відкритим кодом (OSS VRP), щоб винагороджувати виявлення вразливостей у проектах Google з відкритим кодом. Відповідаючи за великі проекти, такі як Golang, Angular і Fuchsia, Google є одним із найбільших учасників і користувачів відкритого коду у світі. Завдяки доданню Google OSS VRP до нашої сім’ї Vulnerability Bounty Programs (VRP) дослідники тепер можуть отримувати винагороду за виявлення помилок, які потенційно можуть вплинути на всю екосистему з відкритим кодом.
Google пояснив, що уразливості є великою проблемою у дописі в блозі. Сказав, що кількість цілеспрямованих атак зросла на 650%. до ланцюжка поставок програмного забезпечення з відкритим кодом минулого року, що призвело до серйозних інцидентів, таких як використання вразливості Log4Shell.
«Полювання на помилки є популярним інструментом не тільки для покращення якості пропозицій програмного забезпечення, але й для підвищення знайомства розробників, одночасно діючи як стимул для глибшої взаємодії з кодом», — сказав Хольгер Мюллер з Constellation. Research Inc. «У зв’язку з цим, Приємно бачити, що Google пропонує інший пошук помилок, позначений програмою уразливості програмного забезпечення з відкритим вихідним кодом. Усі параметри привабливі, спільноти розробників мінливі, тому ми побачимо, якою буде відповідь і, що більш важливо, які недоліки та подальше впровадження базових платформ можна отримати».
Програма OSS VRP, оголошена сьогодні, є частиною цього зобов’язання.
Зі свого боку, Google заохочує дослідників переглядати код програмного забезпечення з відкритим кодом і повідомляти про будь-які вразливості що вони виявляють Google заявив, що виплатить винагороду залежно від серйозності вразливості та важливості проекту в діапазоні від 100 до 31,337 XNUMX доларів США. Більші винагороди також будуть виплачуватися за більш «незвичайні або особливо цікаві вразливості», щодо яких Google заохочує дослідників проявляти творчість.
Крім нагород, користувачі також можуть отримати публічне визнання своїх відкриттів, якщо вони цього захочуть. Для тих, хто хоче пожертвувати свою винагороду на благодійність, Google сказав, що компенсує ці внески з власної купи готівки.
Google пояснив, що дослідники повинні зосередити свої зусилля на найновіших версіях проектів програмного забезпечення з відкритим кодом, які вона веде, які можна знайти в загальнодоступних сховищах на сторінці Google GitHub. Полювання на помилки також поширюється на сторонні залежності цих проектів.
В кінці кінців Якщо ви зацікавлені в тому, щоб мати змогу дізнатись про це більше про примітку, ви можете переглянути заяву Google у наступне посилання.