Google, Yeni Açık Kaynak Yazılım Hata Ödül Programını Duyurdu

Yayınlandı: Ağustos 31, 2022

Google açıkladı Salı günü, Google tarafından yayınlanan açık kaynaklı yazılımın (Google OSS) en son sürümlerinde hataları bulmak ve bildirmek için güvenlik araştırmacılarına ödeme yapacağını duyurdu.

Teknoloji devinin yeni lansmanı Güvenlik Açığı Ödül Programı (VRP) öncelikle Google yazılımı ve veri havuzu ayarlarına odaklanır (GitHub eylemleri, uygulama yapılandırmaları ve erişim denetimi kuralları dahil).

Bu program, Google'a ait GitHub kuruluşlarının halka açık havuzlarında ve diğer platformlardaki bazı havuzlarda bulunan yazılımlar için geçerlidir.

Hata raporlarının önce savunmasız paketlerin sahiplerine gönderilmesi koşuluyla, Google OSS üçüncü taraf bağımlılıklarındaki güvenlik açıkları da bu program için odak noktasıdır. Bu şekilde, Google'a bulgular hakkında bilgi verilmeden önce sorunlar giderilmiş olur.

Google Salı günü yaptığı açıklamada, "En büyük ödüller en hassas projelerde bulunan güvenlik açıklarına verilecek: Bazel, Angular, Golang, Protocol buffers ve Fuchsia" dedi.

Google'ın OSS VRP'si, vurgusunun çoğunu, yazılım tedarik zinciri üzerinde en önemli etkiye sahip olacak güvenlik kusurlarına verir.

Sonuç olarak şirket, hata ödül avcılarını tedarik zincirinde uzlaşmaya, ürün açıklarına neden olan tasarım sorunlarına ve güvenlik sorunlarına yol açabilecek güvenlik açıklarına odaklanmaya teşvik ediyor. Bu sorunlar, sızdırılmış oturum açma kimlik bilgilerini, zayıf parolaları veya güvenli olmayan yüklemeleri içerebilir.

Güvenlik açıklarının önem düzeyine ve projenin önemine bağlı olarak, nihai ödüller toplamda 100$ ile 31,337$ arasında değişmektedir.

“Başlamadan önce, kapsam dışı projeler ve güvenlik açıkları hakkında daha fazla bilgi için lütfen program kurallarına bakın, ardından bilgisayar korsanlığı yapın ve ne bulduğunuzu bize bildirin. Gönderiniz özellikle olağandışıysa, öncelik belirleme ve yanıt için doğrudan sizinle iletişime geçeceğiz," dedi Google yaptığı açıklamada.

“Bir ödüle ek olarak, katkınız için halk tarafından tanınma alabilirsiniz. Ayrıca ödülünüzü, orijinal miktarın iki katı oranında hayır kurumlarına bağışlamayı da seçebilirsiniz” diye ekledi teknoloji devi.