科林蒂埃里
谷歌 公布 周二,它将向安全研究人员付费,以查找和报告谷歌发布的开源软件(Google OSS)最新版本中的错误。
这家科技巨头新推出 漏洞奖励计划 (VRP) 主要关注 Google 软件和存储库设置(包括 GitHub 操作、应用程序配置和访问控制规则)。
该计划适用于 Google 拥有的 GitHub 组织的公共存储库以及其他平台的一些存储库上提供的软件。
Google OSS第三方依赖项中的安全漏洞也是该计划的重点,前提是错误报告首先发送给易受攻击包的所有者。这样,在将调查结果通知谷歌之前,这些问题就已经得到解决。
谷歌在周二的声明中表示,“最高奖项将颁发给最敏感项目中发现的漏洞:Bazel、Angular、Golang、Protocol buffers 和 Fuchsia”。
谷歌的 OSS VRP 将大部分重点放在将对软件供应链产生最重大影响的安全缺陷上。
因此,该公司鼓励漏洞赏金猎人关注可能导致供应链妥协的漏洞、导致产品漏洞的设计问题以及安全问题。这些问题可能包括登录凭据泄露、密码弱或安装不安全。
根据漏洞的严重程度和项目的重要性,最终奖励总额从 100 美元到 31,337 美元不等。
“在开始之前,请参阅计划规则,了解有关超出范围的项目和漏洞的更多信息,然后进行黑客攻击并让我们知道您发现了什么。如果您提交的内容特别不寻常,我们将直接与您联系并与您合作进行分类和回复,”谷歌在声明中表示。
“除了奖励之外,你的贡献还可以获得公众的认可。您还可以选择将您的奖励捐赠给慈善机构,金额是原来金额的两倍。”这家科技巨头补充道。
