Google mở rộng danh mục các chương trình phần thưởng
Google đã tái khẳng định cam kết của mình đối với nguồn mở và nó đã được phát hành chưa một chương trình mới để hỗ trợ các nhà nghiên cứu bảo mật và thợ săn lỗi khi đưa ra phần thưởng tiền mặt bất kỳ ai có thể phát hiện ra lỗ hổng trong các dự án phần mềm nguồn mở mà anh ta dẫn dắt.
Chương trình Phần thưởng đã được công bố là phần bổ sung mới nhất cho dòng chương trình tiền thưởng lỗ hổng bảo mật của Google và tập trung vào việc khen thưởng các nhà nghiên cứu tìm ra các lỗi có thể gây hại cho một số dự án mã nguồn mở được sử dụng rộng rãi nhất trên thế giới.
Được thành lập để đền đáp và cảm ơn những người đã giúp làm cho mã của Google an toàn hơn, chương trình VRP ban đầu là một trong những chương trình đầu tiên trên thế giới và hiện đang gần kỷ niệm 12 năm thành lập. Theo thời gian, dòng sản phẩm VRP của chúng tôi đã mở rộng để bao gồm các chương trình tập trung vào Chrome, Android và các lĩnh vực khác. Tính chung, các chương trình này đã thưởng cho hơn 13 lượt gửi, với tổng số tiền chi trả là hơn 000 triệu đô la.
Như nhiều người sẽ biết, Google chịu trách nhiệm chính về nhiều dự án nguồn mở lớn, đó là ví dụ về Android, Golang, khung ứng dụng web dựa trên TypeScript Angular và hệ điều hành Fuchsia cho các thiết bị gia đình thông minh như Nest.
Hôm nay, chúng tôi đang khởi chạy Chương trình khen thưởng lỗ hổng bảo mật phần mềm nguồn mở (OSS VRP) của Google để thưởng cho những phát hiện lỗ hổng trong các dự án nguồn mở của Google. Là người chịu trách nhiệm cho các dự án lớn như Golang, Angular và Fuchsia, Google là một trong những người đóng góp và sử dụng mã nguồn mở lớn nhất trên thế giới. Với việc bổ sung OSS VRP của Google vào dòng Chương trình tiền thưởng lỗ hổng bảo mật (VRP) của chúng tôi, các nhà nghiên cứu hiện có thể được thưởng vì đã tìm ra các lỗi có thể ảnh hưởng đến toàn bộ hệ sinh thái nguồn mở.
Các lỗ hổng bảo mật là một vấn đề lớn, Google giải thích trong một bài đăng trên blog. Cho biết đã tăng 650% các cuộc tấn công có chủ đích vào chuỗi cung ứng phần mềm mã nguồn mở vào năm ngoái, dẫn đến các sự cố lớn như lỗ hổng Log4Shell bị khai thác.
Holger Mueller của Constellation cho biết: “Săn lỗi là một công cụ phổ biến không chỉ để cải thiện chất lượng của phần mềm mà còn để tăng mức độ quen thuộc của nhà phát triển đồng thời đóng vai trò là động lực để tương tác sâu hơn với mã,” Holger Mueller của Constellation Research Inc. “Về vấn đề này, thật tốt khi thấy rằng Google cung cấp một tìm kiếm lỗi khác, có nhãn Chương trình lỗ hổng phần mềm nguồn mở. Tất cả các thông số đều hấp dẫn, cộng đồng nhà phát triển hay thay đổi, vì vậy chúng tôi sẽ xem phản ứng sẽ như thế nào và quan trọng hơn là có thể thu được những sai sót nào và tiếp tục áp dụng các nền tảng cơ bản. ”
Chương trình OSS VRP được công bố hôm nay là một phần của cam kết đó.
Về phần mình, Google khuyến khích các nhà nghiên cứu xem xét mã phần mềm nguồn mở của mình và báo cáo bất kỳ lỗ hổng nào mà họ khám phá Google cho biết họ sẽ trả tiền thưởng dựa trên mức độ nghiêm trọng của lỗ hổng bảo mật và tầm quan trọng của dự án, dao động từ 100 đô la đến 31,337 đô la. Tiền thưởng lớn hơn cũng sẽ được trả cho nhiều "lỗ hổng bất thường hoặc đặc biệt thú vị", mà Google khuyến khích các nhà nghiên cứu sáng tạo.
Ngoài phần thưởng, người dùng cũng có thể nhận được sự công nhận của công chúng cho những khám phá của họ nếu họ chọn. Đối với những người muốn quyên góp phần thưởng của họ cho tổ chức từ thiện, Google cho biết họ sẽ ghép những khoản đóng góp đó từ đống tiền mặt của chính mình.
Google giải thích rằng các nhà nghiên cứu nên tập trung nỗ lực vào các phiên bản cập nhật nhất của các dự án phần mềm nguồn mở mà nó dẫn đầu, có thể được tìm thấy trong các kho lưu trữ công khai trên trang GitHub của Google. Việc săn lỗi cũng mở rộng đến các phụ thuộc bên thứ ba của các dự án đó.
Cuối cùng Nếu bạn quan tâm có thể biết thêm về nó về ghi chú, bạn có thể tham khảo tuyên bố do Google đưa ra trong liên kết theo dõi.