Google ประกาศเปิดตัวโปรแกรม Bug Bounty สำหรับซอฟต์แวร์โอเพ่นซอร์สใหม่

เผยแพร่เมื่อ: สิงหาคม 31, 2022

Google ประกาศ ในวันอังคารนี้ บริษัทจะจ่ายเงินให้นักวิจัยด้านความปลอดภัยเพื่อค้นหาและรายงานข้อบกพร่องในซอฟต์แวร์โอเพ่นซอร์ส (Google OSS) เวอร์ชันล่าสุดของ Google

ยักษ์ใหญ่ด้านเทคโนโลยีเพิ่งเปิดตัว โปรแกรมรางวัลช่องโหว่ (VRP) เน้นที่การตั้งค่าซอฟต์แวร์และที่เก็บของ Google เป็นหลัก (รวมถึงการดำเนินการของ GitHub การกำหนดค่าแอปพลิเคชัน และกฎการควบคุมการเข้าถึง)

โปรแกรมนี้ใช้กับซอฟต์แวร์ที่มีอยู่ในพื้นที่เก็บข้อมูลสาธารณะขององค์กร GitHub ที่ Google เป็นเจ้าของ พร้อมด้วยที่เก็บข้อมูลบางส่วนจากแพลตฟอร์มอื่นๆ

ช่องโหว่ด้านความปลอดภัยในการพึ่งพาบุคคลที่สามของ Google OSS ก็มีความสำคัญสำหรับโปรแกรมนี้เช่นกัน ภายใต้เงื่อนไขว่ารายงานจุดบกพร่องจะถูกส่งไปยังเจ้าของแพ็คเกจที่มีช่องโหว่ก่อน ด้วยวิธีนี้ ปัญหาได้รับการแก้ไขแล้วก่อนที่จะแจ้งให้ Google ทราบถึงสิ่งที่ค้นพบ

“รางวัลสูงสุดจะมอบให้กับช่องโหว่ที่พบในโครงการที่มีความละเอียดอ่อนที่สุด: Bazel, Angular, Golang, Protocol buffers และ Fuchsia” Google กล่าวในแถลงการณ์เมื่อวันอังคาร

OSS VRP ของ Google ให้ความสำคัญกับข้อบกพร่องด้านความปลอดภัยมากที่สุด ซึ่งจะมีผลกระทบที่สำคัญที่สุดต่อห่วงโซ่อุปทานของซอฟต์แวร์

ด้วยเหตุนี้ บริษัทจึงสนับสนุนให้นักล่าค่าหัวบั๊กมุ่งเน้นไปที่ช่องโหว่ที่อาจนำไปสู่การประนีประนอมในห่วงโซ่อุปทาน ปัญหาด้านการออกแบบที่ก่อให้เกิดช่องโหว่ของผลิตภัณฑ์ และปัญหาด้านความปลอดภัย ปัญหาเหล่านี้อาจรวมถึงข้อมูลรับรองการเข้าสู่ระบบที่รั่วไหล รหัสผ่านที่ไม่รัดกุม หรือการติดตั้งที่ไม่ปลอดภัย

ขึ้นอยู่กับระดับความรุนแรงของช่องโหว่และความสำคัญของโครงการ รางวัลสุดท้ายมีตั้งแต่ $100 ถึง $31,337 โดยรวม

“ก่อนที่คุณจะเริ่มต้น โปรดดูกฎของโปรแกรมสำหรับข้อมูลเพิ่มเติมเกี่ยวกับโครงการที่อยู่นอกขอบเขตและช่องโหว่ จากนั้นจึงทำการแฮ็กและแจ้งให้เราทราบสิ่งที่คุณพบ หากการส่งของคุณผิดปกติเป็นพิเศษ เราจะติดต่อคุณและทำงานร่วมกับคุณโดยตรงเพื่อคัดแยกและตอบกลับ” Google กล่าวในแถลงการณ์

“นอกจากรางวัลแล้ว คุณสามารถได้รับการยอมรับจากสาธารณชนสำหรับผลงานของคุณ คุณยังสามารถเลือกบริจาครางวัลเพื่อการกุศลได้สองเท่าของจำนวนเงินเดิม” ยักษ์ใหญ่ด้านเทคโนโลยีกล่าวเสริม