Google早在2010年就推出了漏洞奖励计划(VRP)。顾名思义,它鼓励研究人员和网络安全专家检测安全问题和漏洞,然后私下向供应商报告。报告后,这些漏洞将被公司修复,发现问题的人将获得金钱奖励。在过去几年中,Google一直致力于统一该平台,并将其扩展到更多平台。今天,该公司宣布了又一次扩张,这次是在开放源代码软件(OSS)领域。
Google强调,它是开放源码软件最大的贡献者和维护者之一,旗下有Golang、Angular和Fuchsia等项目,因此它理解保护这一领域的必要性。因此,它的OSS VRP计划也是为了鼓励在这方面的努力。
OSS VRP侧重于Google旗下的任何OSS代码。这不仅包括其维护的项目,还包括由其他供应商维护的任何OSS依赖。本VRP所涵盖的两类开放源码软件定义如下:
储存在Google旗下GitHub组织的公共存储库中的所有最新版本的开源软件(包括存储库设置)。
这些项目的第三方依赖(在提交给Google的OSS VRP之前需要事先通知受影响的依赖方)
Google现在接受的提交类型包括供应链妥协、设计缺陷和一般的安全问题,如薄弱或泄露的凭证,或不安全的部署。奖励从100美元开始,最高可达31337美元,不过,上限通常针对更敏感的项目,如Bazel、Angular、Golang、协议缓冲区和Fuchsia。
Google希望这种社区驱动的合作努力将有助于提高开放源码软件的安全性。该倡议是Google一年前与美国总统拜登会面后宣布的100亿美元网络安全投资的一部分。早在4月,Google承诺支持开源安全基金会(OpenSSF)的软件包分析项目,以检测恶意的开源软件包也。
如果你对参与OSS VRP感兴趣,你可以在这里查看要求和其他流程:
https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules
(举报)
