当前位置: 首页 > 科技观察

谷歌推出专门针对开源软件的漏洞赏金计划

时间:2023-03-22 11:38:41 科技观察

谷歌宣布了一项专门针对开源软件的新漏洞赏金计划。据介绍,开源软件漏洞赏金计划(OSSVRP)专注于谷歌软件和存储库设置(如GitHub操作、应用程序配置和访问控制规则),适用于谷歌拥有的GitHub组织和其他平台的公共存储库存储库中可用的一些软件。“添加这个新程序是为了应对供应链攻击日益普遍的现实。去年,针对开源供应链的攻击同比增长650%,包括Codecov和Log4j漏洞等头条新闻,表明单个开源漏洞的破坏性潜力。Google的OSSVRP是我们改善网络安全的10B美元承诺的一部分,包括保护供应链免受Google用户和全球开源消费者的此类攻击。通过该计划,谷歌将根据发现的漏洞的严重程度提供100美元的赏金,金额从31,337美元到31,337美元不等。对于特别有趣的错误,谷歌表示可能会增加约1,000美元的小额赏金。谷歌OSS第三方依赖项中的安全漏洞也包含在这个赏金计划中,但前提是错误报告首先发送给易受攻击包的所有者;因此,这些问题将在上游得到解决。通过第3方依赖项详细说明漏洞的提交应该:证明漏洞本身存在在我们的项目中(即你必须证明第三方漏洞可以在谷歌OSS中被触发或利用)。在上游修复问题(例如补丁包发布)后30天内共享。根据谷歌,顶部奖项将颁发给在最敏感的项目中发现的漏洞:Bazel、Angular、Golang、Protocolbuffers和Fuchsia。首次启动后,公司还计划扩大这一名单。Google鼓励关注可能导致供应链受损的漏洞、导致产品漏洞的设计问题以及安全问题,例如凭据泄露、密码薄弱或安装不安全。对于那些对金钱不感兴趣的人,谷歌将提供将奖金捐赠给以其名义命名的知名慈善机构的选项。“如果你这样做,我们将酌情将你的捐款加倍。12个月后未领取的任何奖励将捐赠给我们选择的慈善机构。”