Google早在2010年就推出漏洞獎勵計劃(VRP)。顧名思義,它鼓勵研究人員和網絡安全專傢檢測安全問題和漏洞,然後私下向供應商報告。報告後,這些漏洞將被公司修復,發現問題的人將獲得金錢獎勵。在過去幾年中,Google一直致力於統一該平臺,並將其擴展到更多平臺。今天,該公司宣佈又一次擴張,這次是在開放源代碼軟件(OSS)領域。
Google強調,它是開放源碼軟件最大的貢獻者和維護者之一,旗下有Golang、Angular和Fuchsia等項目,因此它理解保護這一領域的必要性。因此,它的OSS VRP計劃也是為鼓勵在這方面的努力。
OSS VRP側重於Google旗下的任何OSS代碼。這不僅包括其維護的項目,還包括由其他供應商維護的任何OSS依賴。本VRP所涵蓋的兩類開放源碼軟件定義如下:
儲存在Google旗下GitHub組織的公共存儲庫中的所有最新版本的開源軟件(包括存儲庫設置)。
這些項目的第三方依賴(在提交給Google的OSS VRP之前需要事先通知受影響的依賴方)
Google現在接受的提交類型包括供應鏈妥協、設計缺陷和一般的安全問題,如薄弱或泄露的憑證,或不安全的部署。獎勵從100美元開始,最高可達31337美元,不過,上限通常針對更敏感的項目,如Bazel、Angular、Golang、協議緩沖區和Fuchsia。
Google希望這種社區驅動的合作努力將有助於提高開放源碼軟件的安全性。該倡議是Google一年前與美國總統拜登會面後宣佈的100億美元網絡安全投資的一部分。早在4月,Google承諾支持開源安全基金會(OpenSSF)的軟件包分析項目,以檢測惡意的開源軟件包也。
如果你對參與OSS VRP感興趣,你可以在這裡查看要求和其他流程:
https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules