Google annoncerer nyt Open-Source Software Bug Bounty-program

Udgivet på: August 31, 2022

Google annoncerede tirsdag, at det vil betale sikkerhedsforskere at finde og rapportere fejl i de seneste versioner af Google-udgivet open source-software (Google OSS).

Teknikgiganten er netop lanceret Vulnerability Reward Program (VRP) fokuserer primært på Googles software- og lagerindstillinger (herunder GitHub-handlinger, applikationskonfigurationer og regler for adgangskontrol).

Dette program gælder for software, der er tilgængeligt på offentlige lagre hos Google-ejede GitHub-organisationer sammen med nogle lagre fra andre platforme.

Sikkerhedssårbarheder i Google OSS tredjepartsafhængigheder er også i fokus for dette program, forudsat at fejlrapporterne sendes til ejerne af de sårbare pakker først. På denne måde er problemerne allerede behandlet, før Google informeres om resultaterne.

"De bedste priser vil gå til sårbarheder fundet i de mest følsomme projekter: Bazel, Angular, Golang, Protocol buffers og Fuchsia," sagde Google i sin erklæring tirsdag.

Googles OSS VRP lægger det meste af sin vægt på sikkerhedsfejl, der ville have den største indvirkning på softwareforsyningskæden.

Som et resultat heraf opfordrer virksomheden bug-dusørjægere til at fokusere på sårbarheder, der kan føre til kompromis med forsyningskæden, designproblemer, der forårsager produktsårbarheder og sikkerhedsproblemer. Disse problemer kan omfatte lækkede loginoplysninger, svage adgangskoder eller usikre installationer.

Afhængig af sværhedsgraden af ​​sårbarhederne og projektets betydning, varierer de endelige belønninger fra $100 til $31,337 i alt.

"Før du starter, skal du se programreglerne for mere information om projekter og sårbarheder uden for rammerne, og derefter hacke og fortælle os, hvad du finder. Hvis din indsendelse er særlig usædvanlig, kontakter vi dig og arbejder direkte med dig for triaging og svar," sagde Google i sin erklæring.

”Ud over en belønning kan du modtage offentlig anerkendelse for dit bidrag. Du kan også vælge at donere din belønning til velgørenhed til det dobbelte af det oprindelige beløb," tilføjede teknologigiganten.