קולין תיירי
Google הודיע ביום שלישי שהיא תשלם לחוקרי אבטחה כדי למצוא ולדווח על באגים בגרסאות האחרונות של תוכנת הקוד הפתוח שהוציאה גוגל (Google OSS).
ענקית הטכנולוגיה הושקה לאחרונה תוכנית תגמול על פגיעות (VRP) מתמקד בעיקר בהגדרות התוכנה והמאגר של גוגל (כולל פעולות GitHub, תצורות יישומים וכללי בקרת גישה).
תוכנית זו חלה על תוכנות הזמינות במאגרים ציבוריים של ארגוני GitHub בבעלות Google יחד עם מאגרים מסוימים מפלטפורמות אחרות.
פרצות אבטחה בתלות של צד שלישי של Google OSS נמצאות גם במוקד עבור תוכנית זו, בתנאי שדיווחי הבאגים יישלחו תחילה לבעלי החבילות הפגיעות. בדרך זו, הבעיות כבר מטופלות לפני שמודיעים לגוגל על הממצאים.
"הפרסים המובילים יחולקו לנקודות תורפה שנמצאו בפרויקטים הרגישים ביותר: Bazel, Angular, Golang, Protocol buffers ופוקסיה", אמרה גוגל בהודעתה ביום שלישי.
ה-OSS VRP של גוגל שם את רוב הדגש על פגמי אבטחה שיהיו בעלי ההשפעה המשמעותית ביותר על שרשרת האספקה של התוכנה.
כתוצאה מכך, החברה מעודדת ציידי ראשים באגים להתמקד בנקודות תורפה שעלולות להוביל להתפשרות בשרשרת האספקה, בעיות עיצוב הגורמות לפרצות מוצרים ובעיות אבטחה. בעיות אלה עשויות לכלול דליפות אישורי כניסה, סיסמאות חלשות או התקנות לא מאובטחות.
בהתאם לרמת חומרת הפגיעות ולחשיבות הפרויקט, התגמולים הסופיים נעים בין 100$ ל-$31,337 בסך הכל.
"לפני שתתחיל, אנא עיין בכללי התוכנית לקבלת מידע נוסף על פרויקטים ופגיעויות מחוץ לתחום, ולאחר מכן קבל פריצה ותודיע לנו מה אתה מוצא. אם ההגשה שלך יוצאת דופן במיוחד, ניצור איתך קשר ונעבוד איתך ישירות לצורך בדיקה ותגובה", אמרה גוגל בהצהרה שלה.
"בנוסף לתגמול, אתה יכול לקבל הכרה ציבורית על תרומתך. אתה יכול גם לבחור לתרום את הפרס שלך לצדקה בסכום כפול מהסכום המקורי", הוסיפה ענקית הטכנולוגיה.
