谷歌推出专门针对开源软件的漏洞赏金计划

安全 漏洞
根据介绍,该开源软件漏洞赏金计划 (OSS VRP) 侧重于 Google 软件和存储库设置(如 GitHub 操作、应用程序配置和访问控制规则),适用于 Google 拥有的 GitHub 组织的公共存储库以及其他平台的一些存储库中可用的软件。

谷歌宣布推出一项新的漏洞赏金计划,专门针对开源软件。根据介绍,该开源软件漏洞赏金计划 (OSS VRP) ​侧重于 Google 软件和存储库设置(如 GitHub 操作、应用程序配置和访问控制规则),适用于 Google 拥有的 GitHub 组织的公共存储库以及其他平台的一些存储库中可用的软件。

“这项新计划的增加是为了应对日益普遍的供应链攻击的现实。去年,针对开源供应链的攻击同比增长 650%,包括 Codecov 和 Log4j 漏洞等头条新闻,显示了单个开源漏洞的破坏性潜力。Google 的 OSS VRP 是我们以 10B 美元改善网络安全承诺的一部分,包括保护供应链免受 Google 用户和全球开源消费者的此类攻击。”

通过该计划,谷歌将向相关漏洞披露研究人员提供 100 美元到 31,337 美元的奖金不等,具体取决于所发现的漏洞的严重程度。对于特别有意思的漏洞,谷歌方面称其还可能会小幅增加大约 1,000 美元的奖金。

Google OSS 第三方依赖项中的安全漏洞也在此赏金计划范围内,但条件是需要先将错误报告发送给易受攻击的包的所有者;因此在将发现结果通知 Google 之前,这些问题会在上游得到解决。

通过 3rd-party 依赖项详细说明漏洞的提交应该:

  • 证明漏洞在我们的项目中表现出来(即你必须证明第三方漏洞可以在 Google OSS 中被触发或利用)。
  • 不早于上游修复问题后的 30 天后共享(例如发布补丁软件包)。

谷歌方面透露​,最高奖项将颁发给在最敏感项目中发现的漏洞:Bazel、Angular、Golang、Protocol buffers 和 Fuchsia。而在初始推出后,该公司还计划将扩展此列表。谷歌鼓励关注可能导致供应链受损的漏洞、导致产品漏洞的设计问题以及凭据泄露、弱密码或不安全安装等安全问题。

针对那些对金钱不感兴趣的人,谷歌则将提供以其名义将奖金捐赠给知名慈善机构的选项。“如果你这样做,我们将根据我们的判断将你的捐款翻倍。12 个月后仍未领取的任何奖励将捐赠给我们选择的慈善机构。”​

责任编辑:赵宁宁 来源: OSCHINA
相关推荐

2013-11-11 09:43:03

2021-10-22 12:48:40

漏洞网络安全网络攻击

2021-05-13 09:51:33

漏洞赏金计划漏洞网络攻击

2021-12-15 15:12:26

黑客漏洞赏金网络攻击

2022-12-14 14:45:56

2020-12-09 19:31:57

Chrome谷歌漏洞

2021-10-09 12:10:38

索尼Linux基金会开源

2021-10-12 11:11:07

漏洞赏金

2022-09-09 18:37:56

漏洞赏金开源

2021-02-05 16:29:47

Google开源软件框架

2021-12-26 07:54:03

供应链攻击网络罪犯网络攻击

2020-11-25 12:50:53

微软老旧照片开源

2022-09-01 13:48:01

漏洞奖励计划漏洞

2023-10-13 12:20:32

漏洞赏金漏洞

2021-06-25 10:24:30

Google开源漏洞数据库

2021-12-23 19:20:43

漏洞赏金计划漏洞log4j

2021-02-22 14:21:21

开源软件漏洞网络安全

2023-08-30 12:14:05

2020-08-31 08:02:48

黑客漏洞网络攻击

2024-06-17 16:50:25

点赞
收藏

51CTO技术栈公众号