콜린 티에리
구글 발표 화요일에 보안 연구원에게 Google에서 출시한 오픈 소스 소프트웨어(Google OSS)의 최신 버전에서 버그를 찾아 보고하는 데 비용을 지불할 것이라고 밝혔습니다.
기술 대기업이 새로 출시되었습니다. 취약성 보상 프로그램(VRP) 주로 Google 소프트웨어 및 저장소 설정(GitHub 작업, 애플리케이션 구성 및 액세스 제어 규칙 포함)에 중점을 둡니다.
이 프로그램은 다른 플랫폼의 일부 리포지토리와 함께 Google 소유 GitHub 조직의 공개 리포지토리에서 사용할 수 있는 소프트웨어에 적용됩니다.
버그 보고서가 취약한 패키지의 소유자에게 먼저 전송된다는 조건 하에 Google OSS 타사 종속성의 보안 취약점도 이 프로그램에 중점을 둡니다. 이렇게 하면 Google에 결과를 알리기 전에 문제가 이미 해결됩니다.
구글은 화요일 성명에서 “최고의 상은 Bazel, Angular, Golang, Protocol buffers, Fuchsia 등 가장 민감한 프로젝트에서 발견된 취약점에 수여될 것”이라고 밝혔다.
Google의 OSS VRP는 소프트웨어 공급망에 가장 큰 영향을 미칠 수 있는 보안 결함에 중점을 둡니다.
결과적으로 회사는 버그 현상금 사냥꾼이 공급망 손상으로 이어질 수 있는 취약성, 제품 취약성을 유발하는 설계 문제 및 보안 문제에 집중할 것을 권장합니다. 이러한 문제에는 누출된 로그인 자격 증명, 취약한 암호 또는 안전하지 않은 설치가 포함될 수 있습니다.
취약점의 심각도와 프로젝트의 중요도에 따라 최종 보상은 총 $100에서 $31,337입니다.
"시작하기 전에 범위를 벗어난 프로젝트 및 취약점에 대한 자세한 내용은 프로그램 규칙을 참조한 다음 해킹을 당하고 발견한 내용을 알려주십시오. 귀하의 제출이 특히 이례적인 경우 분류 및 응답을 위해 귀하에게 직접 연락하여 협력할 것입니다.”라고 Google은 성명에서 밝혔습니다.
“보상 외에도 공로에 대한 공적 인정을 받을 수 있습니다. 또한 보상금을 원래 금액의 두 배로 자선 단체에 기부할 수도 있습니다.”라고 기술 거물이 덧붙였습니다.
