کالین تیری
گوگل اعلام کرد روز سهشنبه به محققان امنیتی پول میدهد تا باگها را در آخرین نسخههای نرمافزار منبع باز منتشر شده توسط Google (Google OSS) پیدا و گزارش کنند.
این غول فناوری به تازگی راه اندازی شده است برنامه پاداش آسیب پذیری (VRP) در درجه اول بر تنظیمات نرم افزار و مخزن Google (از جمله اقدامات GitHub، پیکربندی برنامه ها و قوانین کنترل دسترسی) تمرکز دارد.
این برنامه برای نرمافزارهای موجود در مخازن عمومی سازمانهای GitHub متعلق به Google به همراه برخی از مخازن دیگر پلتفرمها اعمال میشود.
آسیبپذیریهای امنیتی در وابستگیهای شخص ثالث Google OSS نیز برای این برنامه مورد توجه قرار گرفتهاند، به شرطی که گزارشهای اشکال ابتدا برای صاحبان بستههای آسیبپذیر ارسال شوند. به این ترتیب، قبل از اطلاع رسانی به گوگل از یافته ها، مشکلات قبلاً بررسی شده است.
گوگل در بیانیه روز سهشنبه خود گفت: «جوایز برتر به آسیبپذیریهای حساسترین پروژهها: Bazel، Angular، Golang، Protocol buffers و Fuchsia تعلق میگیرد».
OSS VRP گوگل بیشتر تأکید خود را بر نقص های امنیتی می گذارد که بیشترین تأثیر را بر زنجیره تأمین نرم افزار می گذارد.
در نتیجه، این شرکت شکارچیان باگ را تشویق میکند تا روی آسیبپذیریهایی تمرکز کنند که میتواند منجر به به خطر افتادن زنجیره تامین، مشکلات طراحی که باعث آسیبپذیری محصول میشود، و مسائل امنیتی شود. این مشکلات می تواند شامل اطلاعات کاربری لو رفته، رمزهای عبور ضعیف یا نصب ناامن باشد.
بسته به میزان شدت آسیب پذیری ها و اهمیت پروژه، جوایز نهایی در مجموع از 100 تا 31,337 دلار متغیر است.
قبل از شروع، لطفاً قوانین برنامه را برای اطلاعات بیشتر در مورد پروژههای خارج از محدوده و آسیبپذیریها ببینید، سپس هک شوید و آنچه را که پیدا میکنید به ما اطلاع دهید. اگر ارسال شما غیرعادی باشد، ما مستقیماً برای بررسی و پاسخ با شما تماس می گیریم و با شما کار می کنیم.» گوگل در بیانیه خود گفت.
«علاوه بر جایزه، میتوانید بهخاطر مشارکتتان به رسمیت شناخته شوید. همچنین میتوانید جایزه خود را با دو برابر مبلغ اصلی به خیریه اهدا کنید.»