编译:代码卫士
谷歌推出一项新的漏洞奖励计划,奖励从谷歌开源项目中发现并报告漏洞的安全研究人员。
作为这项新的开源软件漏洞奖励计划 (OSS VRP) 的一部分,谷歌提供的奖励金范围是100美元至31337美元。不过针对“特别聪明或有趣的漏洞”,将会有1000美元左右的额外奖励。
谷歌运行漏洞奖励计划的时间已有12年左右并不断对其扩充,涵盖了安卓、Chrome、Linux 内核等领域。迄今为止,谷歌已向研究人员发放了超过3800万美元的奖励金。
这项新的开源漏洞奖励计划关注开源软件,旨在解决和供应链攻陷相关的风险。
谷歌表示,“去年,针对开源软件供应链的攻击同比增长了650%,出现在新闻头条的事件如 Codecov和Log4Shell 等事件展示了单个开源漏洞的破坏潜力。”
谷歌表示,谷歌所持有的GitHub组织机构公开库中包括的所有当前软件均涵盖在OSS VRP内。同时计划还涵盖这些项目的第三方依赖,不过研究人员必须提前向依赖的所有人发送通知。该奖励计划提到,“请首先将您的漏洞报告直接发给易受攻击数据包的所有人,确保该问题在我们知晓漏洞详情前就已在上游修复。”
涵盖在内的项目分为三个层级,旗舰开源软件项目(这些项目被认为敏感度高)中的漏洞将为研究人员获得更高的奖励。最多奖励金将分配给 Bazel、Angular、Golang、Protocol buffers和Fuchsia。
谷歌鼓励研究人员关注导致供应链攻陷的漏洞、导致产品缺陷的设计问题以及安全问题如凭据泄露、弱密码和不安全的安装程序等。
原文链接
https://www.securityweek.com/google-launches-bug-bounty-program-open-source-projects
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。