تبدأ Google برنامجًا جديدًا لمكافأة الأخطاء لبرنامجها مفتوح المصدر. تضيف الشركة مشاريع مثل Golang ولغات البرمجة Angular إلى برنامج مكافآت الأخطاء المدار ذاتيًا. البرمجيات الخارجية تقع أيضا ضمن النطاق.
شراء مراجعات جوجل يكتب أنها تستضيف جميع اتفاقيات إعادة الشراء العامة الخاصة بها كجزء منفصل من برنامج مكافآت الثغرات الأمنية. هذا هو برنامج مكافأة الأخطاء الخاص بـ Google. ينقسم VRP إلى أجزاء مختلفة ، مثل برنامج للتطبيقات في متجر Play ، ولكن أيضًا برنامج منفصل لتطبيقات الطرف الثالث. الآن تمت إضافة برنامج Google OSS أيضًا. لا تُدرج الشركة النطاق على وجه التحديد ، لكن الشركة تقول إن "جميع المستودعات العامة في مؤسسات GitHub التابعة لشركة Google ومستودعات معينة في الأنظمة الأساسية الأخرى" تقع ضمن هذا النطاق.
تذكر Google عددًا من المشاريع التي يكون تأثيرها أكبر من غيرها. هناك أيضًا مكافأة أعلى بكثير على هذا. هذه هي المخازن المؤقتة لبروتوكول بازل ، وأنجولار ، وجولانج ، وفوشيا ، والمنصة الهيكلية. تقع هذه المشاريع ضمن أعلى مستوى من المكافآت. يدرون ما بين 500 و 31,137 دولار. ينطبق هذا الأخير على خطأ يمكنه مهاجمة المنتجات الأخرى في سلسلة التطوير. هناك أيضًا فئة للمشاريع القياسية ، حيث تتراوح المكافآت من 101 إلى 13,137 دولارًا. المستوى الأدنى هو للأخطاء الموجودة في مستودعات إعادة الشراء التي لم تعد متتبعة أو صغيرة جدًا. جوجل لا يعطي مكافأة على ذلك.
على وجه الخصوص ، تريد Google من الباحثين التركيز على التطبيقات التي يمكن أن تؤثر على سلسلة التوريد. يجب أن تكون هذه الأخطاء التي تسمح بتعديل التعليمات البرمجية المصدر للبرنامج في الفرع الرئيسي من الريبو ، أو حيث يمكن سرقة مفاتيح التشفير ، على سبيل المثال.
من اللافت للنظر أن برنامج مكافأة الأخطاء الجديد يوفر إمكانية إرسال نقاط ضعف في تبعيات الطرف الثالث. بالإضافة إلى ذلك ، تقول Google إنه يجب على الباحثين أولاً مخاطبة المطورين الأصليين لتلك البرامج.
نوع الخطأ المشاريع الرئيسية المشاريع الافتراضية المشاريع ذات الأولوية المنخفضة نقاط الضعف في سلسلة التوريد 3,133.7،31,337 دولار - 1,337،13,337 دولار 500،7,500 - 101،3,133.7 دولار ثغرات المنتج 1,000 دولار - 500،XNUMX دولار XNUMX - XNUMX،XNUMX دولار - نقاط الضعف الأخرى XNUMX،XNUMX دولار - XNUMX -