Google започва нова програма за награди за грешки за собствен софтуер с отворен код. Компанията добавя проекти като езици за програмиране Golang и Angular към съществуващата си самоуправляваща се програма за награди за грешки. Външният софтуер също попада в обхвата.
Google пише че хоства всички свои публични репо сделки като отделна част от програмата за награди за уязвимост. Това е собствената програма на Google за награди за грешки. VRP е разделен на различни части, като например програма за приложения в Play Store, но също така и отделна програма за приложения на трети страни. Сега е добавена и програмата Google OSS. Компанията не изброява конкретно обхвата, но компанията казва, че „всички публични хранилища в организациите GitHub на Google и определени хранилища в други платформи“ попадат в този обхват.
Google наистина споменава редица проекти, чието въздействие е по-голямо от други. Има и много по-висока награда за това. Това са протоколни буфери Basel, Angular, Golang, Fuschia и Structural Platform Protocol Buffers. Тези проекти попадат в най-високото ниво на награди. Те носят между 500 и 31,137 101 долара. Последното се отнася за бъг, който може да атакува други продукти във веригата за разработка. Има и ниво за стандартни проекти, където наградите варират от 13,137 до XNUMX XNUMX долара. Най-ниското ниво е за грешки в хранилища, които вече не се проследяват или са много малки. Google не дава награда за това.
По-специално, Google иска изследователите да се съсредоточат върху приложения, които могат да повлияят на веригата за доставки. Това трябва да са грешки, които позволяват изходният код на софтуера да бъде модифициран в главния клон на репо или където могат да бъдат откраднати криптографски ключове, например.
Учудващо е, че новата програма за награди за грешки предлага възможност за изпращане на уязвимости в зависимости на трети страни. Освен това Google казва, че изследователите трябва първо да се обърнат към оригиналните разработчици на този софтуер.
Тип грешка Основни проекти Проекти по подразбиране Проекти с нисък приоритет Уязвимости на веригата за доставки $3,133.7 – $31,337 $1,337 – $13,337 Уязвимости на продукта $500 – $7,500 $101 – $3,133.7 – Други уязвимости $1,000 $500 –