可用-Google谷歌

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

  • 浏览次数 20389
  • 喜欢 0
  • 评分 12345

谷歌推出一项新的漏洞奖励计划,奖励从谷歌开源项目中发现并报告漏洞的安全研究人员。

作为这项新的开源软件漏洞奖励计划 (OSS VRP) 的一部分,谷歌提供的奖励金范围是100美元至31337美元。不过针对“特别聪明或有趣的漏洞”,将会有1000美元左右的额外奖励。

谷歌运行漏洞奖励计划的时间已有12年左右并不断对其扩充,涵盖了安卓、Chrome、Linux 内核等领域。迄今为止,谷歌已向研究人员发放了超过3800万美元的奖励金。

这项新的开源漏洞奖励计划关注开源软件,旨在解决和供应链攻陷相关的风险。

谷歌表示,“去年,针对开源软件供应链的攻击同比增长了650%,出现在新闻头条的事件如 Codecov和Log4Shell 等事件展示了单个开源漏洞的破坏潜力。”

谷歌表示,谷歌所持有的GitHub组织机构公开库中包括的所有当前软件均涵盖在OSS VRP内。同时计划还涵盖这些项目的第三方依赖,不过研究人员必须提前向依赖的所有人发送通知。该奖励计划提到,“请首先将您的漏洞报告直接发给易受攻击数据包的所有人,确保该问题在我们知晓漏洞详情前就已在上游修复。”

涵盖在内的项目分为三个层级,旗舰开源软件项目(这些项目被认为敏感度高)中的漏洞将为研究人员获得更高的奖励。最多奖励金将分配给 Bazel、Angular、Golang、Protocol buffers和Fuchsia。

谷歌鼓励研究人员关注导致供应链攻陷的漏洞、导致产品缺陷的设计问题以及安全问题如凭据泄露、弱密码和不安全的安装程序等。


转自 安全内参,原文链接:https://www.secrss.com/articles/46426

封面来源于网络,如有侵权请联系删除