คอลิน เธียร์รี่
เผยแพร่เมื่อ: สิงหาคม 31, 2022
Google ประกาศ ในวันอังคารนี้ บริษัทจะจ่ายเงินให้นักวิจัยด้านความปลอดภัยเพื่อค้นหาและรายงานข้อบกพร่องในซอฟต์แวร์โอเพ่นซอร์ส (Google OSS) เวอร์ชันล่าสุดของ Google
ยักษ์ใหญ่ด้านเทคโนโลยีเพิ่งเปิดตัว โปรแกรมรางวัลช่องโหว่ (VRP) เน้นที่การตั้งค่าซอฟต์แวร์และที่เก็บของ Google เป็นหลัก (รวมถึงการดำเนินการของ GitHub การกำหนดค่าแอปพลิเคชัน และกฎการควบคุมการเข้าถึง)
โปรแกรมนี้ใช้กับซอฟต์แวร์ที่มีอยู่ในพื้นที่เก็บข้อมูลสาธารณะขององค์กร GitHub ที่ Google เป็นเจ้าของ พร้อมด้วยที่เก็บข้อมูลบางส่วนจากแพลตฟอร์มอื่นๆ
ช่องโหว่ด้านความปลอดภัยในการพึ่งพาบุคคลที่สามของ Google OSS ก็มีความสำคัญสำหรับโปรแกรมนี้เช่นกัน ภายใต้เงื่อนไขว่ารายงานจุดบกพร่องจะถูกส่งไปยังเจ้าของแพ็คเกจที่มีช่องโหว่ก่อน ด้วยวิธีนี้ ปัญหาได้รับการแก้ไขแล้วก่อนที่จะแจ้งให้ Google ทราบถึงสิ่งที่ค้นพบ
“รางวัลสูงสุดจะมอบให้กับช่องโหว่ที่พบในโครงการที่มีความละเอียดอ่อนที่สุด: Bazel, Angular, Golang, Protocol buffers และ Fuchsia” Google กล่าวในแถลงการณ์เมื่อวันอังคาร
OSS VRP ของ Google ให้ความสำคัญกับข้อบกพร่องด้านความปลอดภัยมากที่สุด ซึ่งจะมีผลกระทบที่สำคัญที่สุดต่อห่วงโซ่อุปทานของซอฟต์แวร์
ด้วยเหตุนี้ บริษัทจึงสนับสนุนให้นักล่าค่าหัวบั๊กมุ่งเน้นไปที่ช่องโหว่ที่อาจนำไปสู่การประนีประนอมในห่วงโซ่อุปทาน ปัญหาด้านการออกแบบที่ก่อให้เกิดช่องโหว่ของผลิตภัณฑ์ และปัญหาด้านความปลอดภัย ปัญหาเหล่านี้อาจรวมถึงข้อมูลรับรองการเข้าสู่ระบบที่รั่วไหล รหัสผ่านที่ไม่รัดกุม หรือการติดตั้งที่ไม่ปลอดภัย
ขึ้นอยู่กับระดับความรุนแรงของช่องโหว่และความสำคัญของโครงการ รางวัลสุดท้ายมีตั้งแต่ $100 ถึง $31,337 โดยรวม
“ก่อนที่คุณจะเริ่มต้น โปรดดูกฎของโปรแกรมสำหรับข้อมูลเพิ่มเติมเกี่ยวกับโครงการที่อยู่นอกขอบเขตและช่องโหว่ จากนั้นจึงทำการแฮ็กและแจ้งให้เราทราบสิ่งที่คุณพบ หากการส่งของคุณผิดปกติเป็นพิเศษ เราจะติดต่อคุณและทำงานร่วมกับคุณโดยตรงเพื่อคัดแยกและตอบกลับ” Google กล่าวในแถลงการณ์
“นอกจากรางวัลแล้ว คุณสามารถได้รับการยอมรับจากสาธารณชนสำหรับผลงานของคุณ คุณยังสามารถเลือกบริจาครางวัลเพื่อการกุศลได้สองเท่าของจำนวนเงินเดิม” ยักษ์ใหญ่ด้านเทคโนโลยีกล่าวเสริม
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- นักสืบความปลอดภัย
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล