谷歌扩大了其奖励计划组合
谷歌重申其对开源的承诺 并发布了 一个新程序 支持安全研究人员和猎人 提供现金奖励的错误 任何可能在他领导的开源软件项目中发现漏洞的人。
奖励计划公布 是 Google 漏洞赏金计划系列的最新成员,并且 专注于奖励研究人员 发现可能损害世界上一些最广泛使用的开源项目的错误。
最初的 VRP 计划是为了补偿和感谢那些帮助使 Google 的代码更安全的人而建立的,它是世界上第一个计划之一,现在正接近其 12 周年纪念日。 随着时间的推移,我们的 VRP 阵容已经扩大到包括专注于 Chrome、Android 和其他领域的程序。 这些计划总共奖励了超过 13 份提交,总支出超过 000 万美元。
众所周知, 谷歌主要负责许多主要的开源项目, 例如 Android、Golang、基于 TypeScript 的 Web 应用程序框架 Angular,以及用于 Nest 等智能家居设备的 Fuchsia 操作系统。
今天,我们将启动 Google 的开源软件漏洞奖励计划 (OSS VRP),以奖励在 Google 开源项目中发现的漏洞。 由于负责 Golang、Angular 和 Fuchsia 等重大项目,谷歌是世界上最大的开源贡献者和用户之一。 通过将 Google 的 OSS VRP 添加到我们的漏洞赏金计划 (VRP) 系列中,研究人员现在可以因发现可能影响整个开源生态系统的错误而获得奖励。
谷歌解释说,漏洞是个大问题 在一篇博文中。 表示有针对性的攻击增加了 650% 到去年开源软件供应链,导致Log4Shell漏洞被利用等重大事件。
Constellation Research Inc. 的 Holger Mueller 说:“Bug 搜索是一种流行的工具,不仅可以提高软件产品的质量,还可以提高开发人员的熟悉度,同时激励与代码进行更深入的交互。”在这方面,很高兴看到 Google 提供了另一个 bug 搜索,标记为 Open Source Software Vulnerability Program。 所有的参数都很吸引人,开发者社区变化无常,所以我们将看到反应如何,更重要的是,可以获得哪些缺陷和对底层平台的进一步采用。”
今天宣布的 OSS VRP 计划就是该承诺的一部分。
就其本身而言, 谷歌鼓励研究人员审查其开源软件代码并报告任何漏洞 他们发现谷歌表示将根据漏洞的严重程度和项目的重要性支付赏金,从 100 美元到 31,337 美元不等。 更多“不寻常或特别有趣的漏洞”也将获得更大的奖金,谷歌鼓励研究人员为此发挥创造力。
除了奖励之外,如果用户愿意,他们还可以因其发现而获得公众认可。 对于那些想将他们的奖励捐赠给慈善机构的人,谷歌表示它将从自己的现金储备中匹配这些捐款。
谷歌解释说,研究人员应该将精力集中在其领导的开源软件项目的最新版本上,这些项目可以在谷歌 GitHub 页面上的公共存储库中找到。 漏洞搜寻还扩展到这些项目的第三方依赖项。
最后 如果您有兴趣了解有关该笔记的更多信息,您可以查阅谷歌在 以下链接。