谷歌宣布推出一項新的漏洞賞金計劃�����,專門針對開源軟件����。根據(jù)介紹�����,該開源軟件漏洞賞金計劃 (OSS VRP) 側(cè)重于 Google 軟件和存儲庫設(shè)置(如 GitHub 操作����、應(yīng)用程序配置和訪問控制規(guī)則),適用于 Google 擁有的 GitHub 組織的公共存儲庫以及其他平臺的一些存儲庫中可用的軟件�����。
“這項新計劃的增加是為了應(yīng)對日益普遍的供應(yīng)鏈攻擊的現(xiàn)實��。去年�����,針對開源供應(yīng)鏈的攻擊同比增長 650%����,包括 Codecov 和 Log4j 漏洞等頭條新聞����,顯示了單個開源漏洞的破壞性潛力�����。Google 的 OSS VRP 是我們以 10B 美元改善網(wǎng)絡(luò)安全承諾的一部分���,包括保護供應(yīng)鏈免受 Google 用戶和全球開源消費者的此類攻擊�。”
通過該計劃����,谷歌將向相關(guān)漏洞披露研究人員提供 100 美元到 31,337 美元的獎金不等,具體取決于所發(fā)現(xiàn)的漏洞的嚴重程度�����。對于特別有意思的漏洞�����,谷歌方面稱其還可能會小幅增加大約 1,000 美元的獎金����。
Google OSS 第三方依賴項中的安全漏洞也在此賞金計劃范圍內(nèi)��,但條件是需要先將錯誤報告發(fā)送給易受攻擊的包的所有者;因此在將發(fā)現(xiàn)結(jié)果通知 Google 之前���,這些問題會在上游得到解決。
通過 3rd-party 依賴項詳細說明漏洞的提交應(yīng)該:
證明漏洞在我們的項目中表現(xiàn)出來(即你必須證明第三方漏洞可以在 Google OSS 中被觸發(fā)或利用)���。
不早于上游修復(fù)問題后的 30 天后共享(例如發(fā)布補丁軟件包)。
谷歌方面透露���,最高獎項將頒發(fā)給在最敏感項目中發(fā)現(xiàn)的漏洞:Bazel��、Angular�����、Golang�、Protocol buffers 和 Fuchsia����。而在初始推出后,該公司還計劃將擴展此列表����。谷歌鼓勵關(guān)注可能導(dǎo)致供應(yīng)鏈?zhǔn)軗p的漏洞�、導(dǎo)致產(chǎn)品漏洞的設(shè)計問題以及憑據(jù)泄露��、弱密碼或不安全安裝等安全問題�。
針對那些對金錢不感興趣的人,谷歌則將提供以其名義將獎金捐贈給知名慈善機構(gòu)的選項�����。“如果你這樣做�,我們將根據(jù)我們的判斷將你的捐款翻倍。12 個月后仍未領(lǐng)取的任何獎勵將捐贈給我們選擇的慈善機構(gòu)����。”
(邯鄲小程序開發(fā))
