Google napoveduje nov program za nagrado za hrošče odprtokodne programske opreme

Objavljeno dne: Avgust 31, 2022

google razglasitve v torek, da bo plačal varnostnim raziskovalcem, da najdejo in prijavijo napake v najnovejših različicah odprtokodne programske opreme (Google OSS), ki jo je izdal Google.

Tehnološki velikan je na novo predstavljen Program nagrajevanja ranljivosti (VRP) primarno se osredotoča na nastavitve Googlove programske opreme in repozitorija (vključno z dejanji GitHub, konfiguracijami aplikacij in pravili za nadzor dostopa).

Ta program velja za programsko opremo, ki je na voljo v javnih repozitorijih organizacij GitHub v lasti Googla, skupaj z nekaterimi repozitoriji iz drugih platform.

Varnostne ranljivosti v odvisnostih Google OSS od tretjih oseb so prav tako v središču tega programa, pod pogojem, da se poročila o napakah najprej pošljejo lastnikom ranljivih paketov. Na ta način so težave že obravnavane, preden Google obvesti o ugotovitvah.

"Najboljše nagrade bodo prejele ranljivosti, najdene v najbolj občutljivih projektih: Bazel, Angular, Golang, Protocol buffers in Fuchsia," je Google dejal v svoji izjavi v torek.

Googlov OSS VRP večino svojega poudarka daje varnostnim pomanjkljivostim, ki bi imele največji vpliv na dobavno verigo programske opreme.

Posledično podjetje spodbuja lovce na nagrade za hrošče, da se osredotočijo na ranljivosti, ki bi lahko povzročile ogrožanje dobavne verige, težave z zasnovo, ki povzročajo ranljivosti izdelkov, in varnostne težave. Te težave lahko vključujejo razkrite poverilnice za prijavo, šibka gesla ali nevarne namestitve.

Odvisno od stopnje resnosti ranljivosti in pomembnosti projekta se končne nagrade gibljejo med 100 in 31,337 $ skupaj.

»Preden začnete, si oglejte pravila programa za več informacij o projektih izven obsega in ranljivostih, nato pa se lotite hekanja in nam sporočite, kaj ste našli. Če je vaša predložitev posebej nenavadna, se bomo obrnili in neposredno sodelovali z vami pri triažiranju in odgovoru,« je Google zapisal v svoji izjavi.

»Poleg nagrade lahko za svoj prispevek prejmete javno priznanje. Lahko se tudi odločite, da svojo nagrado podarite v dobrodelne namene v dvojnem prvotnem znesku,« je dodal tehnološki velikan.