Colin Thierry
Google bejelentés kedden, hogy fizet a biztonsági kutatóknak, hogy megtalálják és jelentsék a hibákat a Google által kiadott nyílt forráskódú szoftverek (Google OSS) legújabb verzióiban.
A technológiai óriás újonnan indult Vulnerability Reward Program (VRP) elsősorban a Google szoftvereire és tárhely-beállításaira összpontosít (beleértve a GitHub-műveleteket, az alkalmazáskonfigurációkat és a hozzáférés-szabályozási szabályokat).
Ez a program a Google tulajdonában lévő GitHub-szervezetek nyilvános tárhelyein elérhető szoftverekre vonatkozik, valamint néhány más platformról származó adattárra.
A Google OSS harmadik féltől származó függőségei biztonsági rései szintén a program középpontjában állnak, azzal a feltétellel, hogy a hibajelentéseket először a sérülékeny csomagok tulajdonosainak küldik el. Ily módon a problémákat már azelőtt kezelik, hogy tájékoztatnák a Google-t az eredményekről.
„A legjobb díjat a legérzékenyebb projektekben talált sebezhetőségek kapják: Bazel, Angular, Golang, Protocol buffers és Fuchsia” – áll a Google keddi közleményében.
A Google OSS VRP-je leginkább azokra a biztonsági hibákra helyezi a hangsúlyt, amelyek a legjelentősebb hatással lennének a szoftverellátási láncra.
Ennek eredményeként a vállalat arra ösztönzi a hibavadászokat, hogy összpontosítsanak azokra a sebezhetőségekre, amelyek az ellátási lánc kompromittálásához vezethetnek, a termék sebezhetőségét okozó tervezési problémákra és biztonsági problémákra. Ilyen problémák lehetnek a kiszivárgott bejelentkezési adatok, gyenge jelszavak vagy nem biztonságos telepítés.
A sebezhetőség súlyosságától és a projekt fontosságától függően a végső jutalom összesen 100 és 31,337 XNUMX dollár között mozog.
„Mielőtt elkezdené, olvassa el a programszabályzatot, ha további információra van szüksége a nem hatályos projektekről és sebezhetőségekről, majd jelentkezzen hackelésnél, és tudassa velünk, mit talált. Ha az Ön beadványa különösen szokatlan, felvesszük Önnel a kapcsolatot, és közvetlenül együttműködünk Önnel a próbatétel és a válaszadás érdekében” – áll a Google közleményében.
„Hozzájárulásáért jutalom mellett nyilvános elismerésben is részesülhet. Dönthet úgy is, hogy az eredeti összeg dupláját jótékony célra ajánlja fel” – tette hozzá a technológiai óriás.