谷歌宣布推出一項新的漏洞賞金計劃����,專(zhuān)門(mén)針對開(kāi)源軟件���。根據介紹�����,該開(kāi)源軟件漏洞賞金計劃 (OSS VRP) 側重于 Google 軟件和存儲庫設置(如 GitHub 操作���、應用程序配置和訪(fǎng)問(wèn)控制規則)����,適用于 Google 擁有的 GitHub 組織的公共存儲庫以及其他平臺的一些存儲庫中可用的軟件�����。
“這項新計劃的增加是為了應對日益普遍的供應鏈攻擊的現實(shí)����。去年����,針對開(kāi)源供應鏈的攻擊同比增長(cháng) 650%���,包括 Codecov 和 Log4j 漏洞等頭條新聞�����,顯示了單個(gè)開(kāi)源漏洞的破壞性潛力����。Google 的 OSS VRP 是我們以 10B 美元改善網(wǎng)絡(luò )安全承諾的一部分�����,包括保護供應鏈免受 Google 用戶(hù)和全球開(kāi)源消費者的此類(lèi)攻擊�����。”
通過(guò)該計劃�,谷歌將向相關(guān)漏洞披露研究人員提供 100 美元到 31,337 美元的獎金不等�,具體取決于所發(fā)現的漏洞的嚴重程度���。對于特別有意思的漏洞�,谷歌方面稱(chēng)其還可能會(huì )小幅增加大約 1,000 美元的獎金���。
Google OSS 第三方依賴(lài)項中的安全漏洞也在此賞金計劃范圍內����,但條件是需要先將錯誤報告發(fā)送給易受攻擊的包的所有者;因此在將發(fā)現結果通知 Google 之前���,這些問(wèn)題會(huì )在上游得到解決���。
通過(guò) 3rd-party 依賴(lài)項詳細說(shuō)明漏洞的提交應該:
證明漏洞在我們的項目中表現出來(lái)(即你必須證明第三方漏洞可以在 Google OSS 中被觸發(fā)或利用)�。
不早于上游修復問(wèn)題后的 30 天后共享(例如發(fā)布補丁軟件包)��。
谷歌方面透露�,最高獎項將頒發(fā)給在最敏感項目中發(fā)現的漏洞:Bazel���、Angular����、Golang�、Protocol buffers 和 Fuchsia��。而在初始推出后���,該公司還計劃將擴展此列表�����。谷歌鼓勵關(guān)注可能導致供應鏈受損的漏洞�����、導致產(chǎn)品漏洞的設計問(wèn)題以及憑據泄露�、弱密碼或不安全安裝等安全問(wèn)題��。
針對那些對金錢(qián)不感興趣的人�,谷歌則將提供以其名義將獎金捐贈給知名慈善機構的選項���。“如果你這樣做��,我們將根據我們的判斷將你的捐款翻倍��。12 個(gè)月后仍未領(lǐng)取的任何獎勵將捐贈給我們選擇的慈善機構����。”
?����。?a href="http://www.wxlp666.cn/wechat/">邯鄲小程序開(kāi)發(fā))
