Google宣佈擴展針對開源軟件的新一期漏洞獎勵計劃


Google早在2010年就推出漏洞獎勵計劃(VRP)。顧名思義,它鼓勵研究人員和網絡安全專傢檢測安全問題和漏洞,然後私下向供應商報告。報告後,這些漏洞將被公司修復,發現問題的人將獲得金錢獎勵。在過去幾年中,Google一直致力於統一該平臺,並將其擴展到更多平臺。今天,該公司宣佈又一次擴張,這次是在開放源代碼軟件(OSS)領域。

Google強調,它是開放源碼軟件最大的貢獻者和維護者之一,旗下有Golang、Angular和Fuchsia等項目,因此它理解保護這一領域的必要性。因此,它的OSS VRP計劃也是為鼓勵在這方面的努力。

OSS VRP側重於Google旗下的任何OSS代碼。這不僅包括其維護的項目,還包括由其他供應商維護的任何OSS依賴。本VRP所涵蓋的兩類開放源碼軟件定義如下:

儲存在Google旗下GitHub組織的公共存儲庫中的所有最新版本的開源軟件(包括存儲庫設置)。

這些項目的第三方依賴(在提交給Google的OSS VRP之前需要事先通知受影響的依賴方)

Google現在接受的提交類型包括供應鏈妥協、設計缺陷和一般的安全問題,如薄弱或泄露的憑證,或不安全的部署。獎勵從100美元開始,最高可達31337美元,不過,上限通常針對更敏感的項目,如Bazel、Angular、Golang、協議緩沖區和Fuchsia。

Google希望這種社區驅動的合作努力將有助於提高開放源碼軟件的安全性。該倡議是Google一年前與美國總統拜登會面後宣佈的100億美元網絡安全投資的一部分。早在4月,Google承諾支持開源安全基金會(OpenSSF)的軟件包分析項目,以檢測惡意的開源軟件包也。

如果你對參與OSS VRP感興趣,你可以在這裡查看要求和其他流程:

https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules


相關推薦

2022-07-25

者,會發現這約等於寫一本全球IT廠商點名冊:英特爾、Google、IBM、英偉達、Red Hat……然而,很多人不知道的是,在這些Linux內核的貢獻者中,華為的排名已經攀升到第一。去年7月份,Linux發佈有史以來最大的發行版之一,Linux K

2023-12-17

原子開發者大會開幕式上,華為、百度、阿裡等共同發佈開源漏洞共享平臺及安全獎勵計劃。據介紹,此平臺由開放原子、阿裡雲、百度、工信部電子五所、華為、京東科技、螞蟻集團、奇安信、清華大學、深信服、騰訊、統信

2022-06-23

元來保護開源軟件的安全。而今早的一篇報道指出,大傢對開源的整體安全性仍缺乏足夠的信心。對此,Torvalds 並不奢望包括 Linux 內核在內的開源軟件都可做到永遠 100% 安全且無 Bug 。錯誤總是難免,如果它們不在硬件層面上出

2023-09-09

用戶將工具有機地結合在一起使用。工作組的設立是一種擴展的方式,目前我們正在啟動一個專註於人工智能和機器學習的工作組,試圖探索如何利用人工智能來提升軟件的安全性,並關註人工智能本身的安全問題,並找到方法

2022-06-22

雖然開源軟件在開發人員和科技公司中日益受到歡迎,但最新報告披露瞭當前開源環境所存在的安全隱患。在最新《TheStateofOpen-SourceSecurity》報告中,開源代碼的無限制部署正逐漸成為一種安全風險。開發者安全公司 Snyk 和 Linux

2024-03-13

31 日針對 Chrome 沙盒逃逸漏洞的獎金翻倍)將額外獎勵計劃擴展到 Chrome 和 Cloud,其中以 v8 CTF 為重點,關註 Chrome v8 引擎的安全性針對第一方 Android 應用程序的移動 VRP 啟用 (面向谷歌自傢預裝應用的安全計劃)推出 Bughunters 博客,

2024-04-26

性。PHP 開發人員將利用這筆 STF 資金徹底檢查他們的 PECL 擴展分發系統,對 PHP 的安全性和代碼審計進行更多改進,改進 PHP 文檔,並圍繞測試工具進行更多開發。主權技術基金還推出漏洞賞金計劃,作為其漏洞復原計劃的一部

2022-11-24

具影響力的高校開源活動。開源之夏聯合各大開源社區,針對重要開源軟件的開發和維護提供項目任務,並面向全球高校學生報名。在社區資 深開發者指導下,學生完成項目開發並將成果貢獻給社區,進一步應用在各種生產環

2022-07-16

本周早些時候,在加州的六傢商店同時開業之前,VinFast宣佈它已經收到一個巨大的激勵計劃,以在北卡羅來納州建立其電動車制造工廠。確切地說,這筆12億美元資金這是北卡羅來納州歷史上最大的激勵計劃。Electrek稱,這傢電

2022-10-06

和合規性產品來防止更廣泛的漏洞和威脅。今天,Canonical宣佈UbuntuPro服務開始進入公測階段。UbuntuPro為個人和小規模用戶推出免費計劃,最多可以覆蓋5臺設備。而需要更大規模部署的用戶需要額外付費。Ubuntu Pro 在標準 Ubuntu 訂

2022-09-22

另一個安全問題時、再次揪出 CVE-2007-4559 。作為一傢提供擴展檢測和響應(XDR)解決方案的新企業,它由 McAfee Enterprise 和 FireEye 合並而來。來自 Trellix 高級威脅研究團隊的 Charles McFarland 指出:在調用 tarfile.extract() 和 tarfile.extrac

2023-04-12

和用戶充滿擔憂。為解決其中的漏洞,4月11日周二,OpenAI宣佈,將公開懸賞200至2萬美元的賞金,以幫助該公司查找其人工智能系統中的錯誤,例如廣受歡迎的ChatGPT聊天機器人。賞金的多少將按照用戶發現的bug的重要性來決定,

2022-07-02

F(開源安全基金會)就透露,他們將支出 1.5 億美元用於對開源軟件的安全防護。對此,Linus 稱,任何開源項目包括 Linux 內核在內,都不能奢望做到 100% 安全和 100% 無 bug。“bug 不出現在硬件就會出現在軟件,不出現在你的程序

2022-08-04

今年五月,星巴克宣佈將進入web3領域,並於今年晚些時候推出NFT收藏品的計劃。而在下個月的投資者日活動期間,該公司還將披露更多細節,其中就包括圍繞咖啡主題的NFT。盡管完整計劃尚未公佈,但總體而言,這傢鎖鏈咖啡