Google запускает программу Bug Bounty для своего открытого | ITsec NEWS
Google запускает программу Bug Bounty для своего открытого ПО.
Google теперь будет платить исследователям безопасности за поиск и сообщение об ошибках в последних версиях открытого ПО, выпущенного Google.
Недавно запущенная программа вознаграждения за уязвимости фокусируется на ПО от Google и настройках репозитория, таких как GitHub Actions, конфигурации приложений и правила контроля доступа. VRP относится к ПО в общедоступных репозиториях GitHub, принадлежащих Google, а также к некоторым репозиториям с других платформ.
Уязвимости в сторонних зависимостях Google OSS входят в программу VRP при условии, что отчеты об ошибках сначала отправляются владельцам уязвимых пакетов, поэтому проблемы должны исправить прежде, чем информировать Google о результатах.
По словам компании, главные награды вручат за недостатки в наиболее уязвимых проектах: Bazel, Angular, Golang, Protocol buffers и Fuchsia.
Цель Google OSS VRP — это ошибки безопасности, которые могут оказать наиболее значительное влияние на цепочку поставок ПО. Поэтому компания призывает багхантеров сосредоточиться на уязвимостях, которые могут привести к:
— компрометации цепочки поставок;
— проблемах проектирования, вызывающих уязвимости продукта;
— утечке данных;
— компрометации паролей;
— небезопасным конфигурациям.
В зависимости от уровня опасности обнаруженных недостатков и важности проекта итоговое вознаграждение варьируется от $100 до $31.337. В дополнение к награде специалист может получить общественное признание за свой вклад. Google также предлагает пожертвовать свою награду на благотворительность в размере, вдвое превышающем первоначальную сумму.
#Google #BigBounty #ОткрытоеПО
ITsec NEWS