Google công bố chương trình tiền thưởng lỗi phần mềm nguồn mở mới PlatoBlockchain Data Intelligence. Tìm kiếm theo chiều dọc. Ai.

Google công bố chương trình tiền thưởng lỗi phần mềm nguồn mở mới

Dấu thời gian: 31:2022 sáng ngày 3 tháng 27 năm XNUMX

Colin Thierry


Colin Thierry

Được đăng trên: Tháng Tám 31, 2022

Google công bố vào thứ Ba rằng họ sẽ trả tiền cho các nhà nghiên cứu bảo mật để tìm và báo cáo lỗi trong các phiên bản mới nhất của phần mềm nguồn mở do Google phát hành (Google OSS).

Người khổng lồ công nghệ mới ra mắt Chương trình phần thưởng lỗ hổng bảo mật (VRP) chủ yếu tập trung vào phần mềm của Google và cài đặt kho lưu trữ (bao gồm các hành động GitHub, cấu hình ứng dụng và quy tắc kiểm soát truy cập).

Chương trình này áp dụng cho phần mềm có sẵn trên các kho công khai của các tổ chức GitHub do Google sở hữu cùng với một số kho từ các nền tảng khác.

Các lỗ hổng bảo mật trong phụ thuộc bên thứ ba của Google OSS cũng được chú trọng cho chương trình này, với điều kiện là các báo cáo lỗi được gửi đến chủ sở hữu của các gói dễ bị tấn công trước. Bằng cách này, các vấn đề đã được giải quyết trước khi thông báo cho Google về những phát hiện.

“Các giải thưởng cao nhất sẽ được trao cho các lỗ hổng được tìm thấy trong các dự án nhạy cảm nhất: Bazel, Angular, Golang, Bộ đệm giao thức và Fuchsia,” Google cho biết trong tuyên bố của mình hôm thứ Ba.

OSS VRP của Google tập trung phần lớn vào các lỗi bảo mật sẽ có tác động đáng kể nhất đến chuỗi cung ứng phần mềm.

Do đó, công ty khuyến khích các thợ săn tiền thưởng tập trung vào các lỗ hổng có thể dẫn đến thỏa hiệp chuỗi cung ứng, các vấn đề thiết kế gây ra lỗ hổng sản phẩm và các vấn đề bảo mật. Những vấn đề này có thể bao gồm thông tin đăng nhập bị rò rỉ, mật khẩu yếu hoặc cài đặt không an toàn.

Tùy thuộc vào mức độ nghiêm trọng của các lỗ hổng và tầm quan trọng của dự án, phần thưởng cuối cùng có tổng cộng từ $ 100 đến $ 31,337.

“Trước khi bạn bắt đầu, vui lòng xem các quy tắc của chương trình để biết thêm thông tin về các dự án ngoài phạm vi và lỗ hổng bảo mật, sau đó nhận hack và cho chúng tôi biết những gì bạn tìm thấy. Nếu nội dung bạn gửi đặc biệt bất thường, chúng tôi sẽ liên hệ và làm việc trực tiếp với bạn để phân tích và phản hồi ”, Google cho biết trong tuyên bố của mình.

“Ngoài phần thưởng, bạn có thể nhận được sự công nhận của công chúng cho những đóng góp của mình. Bạn cũng có thể chọn quyên góp phần thưởng của mình cho tổ chức từ thiện với số tiền gấp đôi số tiền ban đầu, ”gã khổng lồ công nghệ nói thêm.

Dấu thời gian:

Thêm từ Các thám tử an toàn