コリン・ティエリー
でログイン 発表の 火曜日に、Google がリリースしたオープンソース ソフトウェア (Google OSS) の最新バージョンのバグを見つけて報告するために、セキュリティ研究者に報酬を支払うことを発表しました。
ハイテク巨人が新たに立ち上げた 脆弱性報奨プログラム (VRP) 主に、Google ソフトウェアとリポジトリの設定 (GitHub アクション、アプリケーション構成、アクセス制御ルールを含む) に焦点を当てています。
このプログラムは、Google が所有する GitHub 組織のパブリック リポジトリと、他のプラットフォームの一部のリポジトリで利用可能なソフトウェアに適用されます。
このプログラムでは、Google OSS サードパーティの依存関係におけるセキュリティの脆弱性にも焦点を当てています。バグ レポートは、最初に脆弱なパッケージの所有者に送信されるという条件の下で行われます。 このようにして、調査結果を Google に通知する前に、問題はすでに解決されています。
「最高の賞は、最も機密性の高いプロジェクトで発見された脆弱性に贈られます。Bazel、Angular、Golang、Protocol buffers、Fuchsia です」と Google は火曜日の声明で述べています。
Google の OSS VRP は、ソフトウェア サプライ チェーンに最も重大な影響を及ぼすセキュリティ上の欠陥に重点を置いています。
その結果、同社はバグバウンティハンターがサプライチェーンの侵害につながる可能性のある脆弱性、製品の脆弱性を引き起こす設計上の問題、およびセキュリティの問題に焦点を当てることを奨励しています. これらの問題には、ログイン資格情報の漏えい、脆弱なパスワード、または安全でないインストールが含まれる可能性があります。
脆弱性の重大度とプロジェクトの重要性に応じて、最終的な報酬は合計で 100 ドルから 31,337 ドルの範囲になります。
「開始する前に、対象外のプロジェクトと脆弱性に関する詳細についてプログラム ルールを確認し、ハッキングして見つけたものをお知らせください。 あなたの提出物が特に異常である場合は、トリアージと対応のために直接あなたと連絡を取り、協力します」とGoogleは声明で述べています.
「報酬に加えて、貢献に対して公の承認を受けることができます。 また、報酬を元の金額の XNUMX 倍で慈善団体に寄付することもできます」と、テクノロジーの巨人は付け加えました。