Colin Thierry
Publicerad på: Augusti 31, 2022
Google meddelade på tisdag att det kommer att betala säkerhetsforskare för att hitta och rapportera buggar i de senaste versionerna av Google-släppt programvara med öppen källkod (Google OSS).
Teknikjätten är nylanserad Vulnerability Reward Program (VRP) fokuserar i första hand på Googles programvara och lagringsinställningar (inklusive GitHub-åtgärder, applikationskonfigurationer och regler för åtkomstkontroll).
Det här programmet gäller för programvara som är tillgänglig på offentliga arkiv hos Google-ägda GitHub-organisationer tillsammans med vissa arkiv från andra plattformar.
Säkerhetssårbarheter i Google OSS tredjepartsberoenden är också i fokus för detta program, under förutsättning att felrapporterna skickas till ägarna av de sårbara paketen först. På så sätt är problemen redan åtgärdade innan Google informeras om resultaten.
"De högsta utmärkelserna kommer att gå till sårbarheter som finns i de mest känsliga projekten: Bazel, Angular, Golang, Protocol buffers och Fuchsia," sa Google i sitt uttalande på tisdagen.
Googles OSS VRP lägger största delen av sin tonvikt på säkerhetsbrister som skulle ha den mest betydande inverkan på programvarans leveranskedja.
Som ett resultat uppmuntrar företaget buggprisjägare att fokusera på sårbarheter som kan leda till kompromisser i leveranskedjan, designproblem som orsakar produktsårbarheter och säkerhetsproblem. Dessa problem kan inkludera läckta inloggningsuppgifter, svaga lösenord eller osäkra installationer.
Beroende på svårighetsgraden av sårbarheterna och projektets betydelse varierar de slutliga belöningarna från $100 till $31,337 XNUMX totalt.
"Innan du börjar, se programreglerna för mer information om projekt och sårbarheter som inte omfattas av räckvidden, hacka sedan och låt oss veta vad du hittar. Om ditt bidrag är särskilt ovanligt, kommer vi att kontakta dig och arbeta direkt med dig för triaging och svar, säger Google i sitt uttalande.
”Utöver en belöning kan du få ett offentligt erkännande för ditt bidrag. Du kan också välja att donera din belöning till välgörenhet till dubbla det ursprungliga beloppet”, tillade teknikjätten.
