Google, açık kaynak projelerinde bulunan hatalar için ödül verecek yeni bir program başlattı.
bu Açık Kaynak Yazılım Güvenlik Açığı Ödül Programı (yeni sekmede açılır) (OSS VRP), teknoloji devinin keşifler için nakit para sunan mevcut VRP’lerine yapılan en son eklemedir.
Şirket, Google’ın kodunun güvenliğini sağlamaya yardımcı olanlara yönelik ilk VRP’sinin dünyadaki ilklerden biri olduğunu söylüyor. Google, faaliyetinin ikinci on yılında, güvenlik araştırmacılarını ve hata avcılarını destekleme taahhüdünü vurgulamak istiyor.
Google OSS hataları
Google, VRP’lerin şirketin daha geniş operasyonlarında çeşitli Chrome ve Android kodlarını kapsadığını ve bunun sonucunda toplam 84 ülkeden 13.000’den fazla katkıya 38 milyon doların üzerinde ödeme yapıldığını söylüyor.
Ayrıca Google, kendi kullanıcıları ve açık kaynaklı yazılım tüketicileri arasında siber güvenliği geliştirmek için 10 milyar dolar yatırım sözü verdi.
Google, Codecov ve Log4j’yi, geçen yıl OSS tedarik zinciri hedefli saldırılarda bir önceki yıla göre %650 artışa katkıda bulunan en belirgin olaylardan ikisi olarak gösteriyor.
Google’ın Güvenlik Blogu (yeni sekmede açılır) OSS VRP’nin, Google API’leri ve GoogleCloudPlatform gibi Google’ın sahip olduğu GitHub organizasyon alanlarında depolanan OSS’nin “tüm güncel sürümlerine” odaklandığını, ancak “en iyi ödüllerin” Google’ın belirlediği en hassas projelere ayrıldığını söylüyor Bazel, Angular, Golang, Protocol buffers ve Fuchsia; ilk program sunumundan sonra genişlemesi beklenen bir liste.
Herhangi bir avcı için hedefler şunları içerir: “tedarik zincirinde uzlaşmaya yol açan güvenlik açıkları; ürün güvenlik açıklarına neden olan tasarım sorunları; [and] hassas veya sızdırılmış kimlik bilgileri, zayıf parolalar veya güvenli olmayan yüklemeler gibi diğer güvenlik sorunları.”
Ödüller, ortaya çıkarılan güvenlik açığının ciddiyetine bağlı olarak, yaklaşık 100 ABD Doları ile önemli bir 31.337 ABD Doları arasında değişmektedir, ancak özellikle bu VRP ile ilgili olmayan herhangi bir geçerli hata, Google’ın herhangi bir bulguyu ilgili bölüme yönlendirme sözü vermesiyle boşa harcanmayacaktır. VRP (ve nakit para).