Google|Google宣布扩展针对开源软件的新一期漏洞奖励计划
Google早在2010年就推出了漏洞奖励计划(VRP) 。顾名思义,它鼓励研究人员和网络安全专家检测安全问题和漏洞,然后私下向供应商报告 。报告后,这些漏洞将被公司修复,发现问题的人将获得金钱奖励 。在过去几年中,Google一直致力于统一该平台,并将其扩展到更多平台 。今天,该公司宣布了又一次扩张,这次是在开放源代码软件(OSS)领域 。
文章图片
Google强调,它是开放源码软件最大的贡献者和维护者之一,旗下有Golang、Angular和Fuchsia等项目,因此它理解保护这一领域的必要性 。因此,它的OSS VRP计划也是为了鼓励在这方面的努力 。
【Google|Google宣布扩展针对开源软件的新一期漏洞奖励计划】OSS VRP侧重于Google旗下的任何OSS代码 。这不仅包括其维护的项目,还包括由其他供应商维护的任何OSS依赖 。本VRP所涵盖的两类开放源码软件定义如下:
储存在Google旗下GitHub组织的公共存储库中的所有最新版本的开源软件(包括存储库设置) 。
这些项目的第三方依赖(在提交给Google的OSS VRP之前需要事先通知受影响的依赖方)
Google现在接受的提交类型包括供应链妥协、设计缺陷和一般的安全问题,如薄弱或泄露的凭证,或不安全的部署 。奖励从100美元开始,最高可达31337美元,不过,上限通常针对更敏感的项目,如Bazel、Angular、Golang、协议缓冲区和Fuchsia 。
Google希望这种社区驱动的合作努力将有助于提高开放源码软件的安全性 。该倡议是Google一年前与美国总统拜登会面后宣布的100亿美元网络安全投资的一部分 。早在4月,Google承诺支持开源安全基金会(OpenSSF)的软件包分析项目,以检测恶意的开源软件包也 。
如果你对参与OSS VRP感兴趣,你可以在这里查看要求和其他流程:
https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules
推荐阅读
- Google|Google Pixel Watch细节曝光:售价399美元 将与Pixel 7系列一起推出
- Google|尽管苹果提出隐私担忧 Google Chrome 105今天仍会发布
- Google|2022年谷歌博士生奖学金名单公布 17位华人博士生入选
- Google|Google Meet硬件主屏迎来Dark Canvas暗色画布主题支持
- 硬件|统一可扩展固件论坛正式发布UEFI 2.10与ACPI 6.5版规范
- IT|2022成都车展宣布暂停举办:后续安排另行通知
- Google|[图]Google Workspace新功能已开始推广:可在Docs文档中搜索和输入Emoji
- AMD|[图]AMD宣布适用于 Ryzen 7000 的X670E、X670 和 B650 芯片组
- Google|YouTube换将:首席商务官宣布离职 谷歌全球客户解决方案总裁将接任
- Logitech|罗技宣布关闭在俄罗斯的所有业务