Google kunngjør nytt åpen kildekodeprogramvare Bug Bounty Program

Publisert på: August 31, 2022

Google annonsert tirsdag at det vil betale sikkerhetsforskere for å finne og rapportere feil i de nyeste versjonene av Google-utgitt åpen kildekode-programvare (Google OSS).

Teknologigiganten er nylig lansert Vulnerability Reward Program (VRP) fokuserer først og fremst på Googles programvare- og depotinnstillinger (inkludert GitHub-handlinger, applikasjonskonfigurasjoner og regler for tilgangskontroll).

Dette programmet gjelder programvare som er tilgjengelig på offentlige depoter til Google-eide GitHub-organisasjoner, sammen med noen depoter fra andre plattformer.

Sikkerhetssårbarheter i Google OSS tredjepartsavhengigheter er også i fokus for dette programmet, under forutsetning av at feilrapportene sendes til eierne av de sårbare pakkene først. På denne måten er problemene allerede løst før Google informeres om funnene.

"De beste prisene vil gå til sårbarheter funnet i de mest sensitive prosjektene: Bazel, Angular, Golang, Protocol buffers og Fuchsia," sa Google i sin uttalelse tirsdag.

Googles OSS VRP legger mest vekt på sikkerhetsfeil som vil ha den største innvirkningen på programvareforsyningskjeden.

Som et resultat oppfordrer selskapet bug-premiejegere til å fokusere på sårbarheter som kan føre til kompromiss i forsyningskjeden, designproblemer som forårsaker produktsårbarheter og sikkerhetsproblemer. Disse problemene kan omfatte lekket påloggingsinformasjon, svake passord eller usikre installasjoner.

Avhengig av alvorlighetsgraden til sårbarhetene og prosjektets betydning, varierer de endelige belønningene fra $100 til $31,337 XNUMX totalt.

"Før du starter, vennligst se programreglene for mer informasjon om prosjekter og sårbarheter som ikke er omfattet, deretter hacking og la oss få vite hva du finner. Hvis innsendingen din er spesielt uvanlig, kontakter vi deg og jobber direkte med deg for triaging og respons,» sa Google i sin uttalelse.

«I tillegg til en belønning kan du motta offentlig anerkjennelse for ditt bidrag. Du kan også velge å donere belønningen din til veldedighet til det dobbelte av det opprinnelige beløpet," la teknologigiganten til.