Google está iniciando un nuevo programa de recompensas por errores para su propio software de código abierto. La compañía está agregando proyectos como los lenguajes de programación Golang y Angular a su programa de recompensas de errores autogestionado existente. El software externo también cae dentro del alcance.
Google escribe que aloja todos sus repositorios públicos como una parte separada del Programa de Recompensas de Vulnerabilidad. Ese es el propio programa de recompensas por errores de Google. VRP se divide en diferentes partes, como un programa para aplicaciones en Play Store, pero también un programa separado para aplicaciones de terceros. Ahora también se añade el programa Google OSS. La compañía no enumera el alcance específicamente, pero dice que "todos los repositorios públicos en las organizaciones GitHub de Google y ciertos repositorios en otras plataformas" se encuentran dentro de ese alcance.
Google menciona una serie de proyectos cuyo impacto es mayor que otros. También hay una recompensa mucho mayor por esto. Estos son los búferes de protocolo de plataforma estructural, Angular, Golang, Fuschia y Basel. Esos proyectos caen dentro del nivel más alto de recompensas. Rinden entre 500 y 31,137 dólares. Este último se aplica a un error que puede atacar a otros productos en una cadena de desarrollo. También hay un nivel para proyectos estándar, donde las recompensas oscilan entre 101 y 13,137 XNUMX dólares. El nivel más bajo es para errores en repositorios que ya no se rastrean o que son muy pequeños. Google no da una recompensa por eso.
En particular, Google quiere que los investigadores se centren en las aplicaciones que pueden afectar la cadena de suministro. Estos deben ser errores que permitan modificar el código fuente del software en la rama principal de un repositorio, o donde se puedan robar claves criptográficas, por ejemplo.
Llama la atención que el nuevo programa de recompensas por errores ofrece la posibilidad de enviar vulnerabilidades en dependencias de terceros. Además, Google dice que los investigadores primero deben dirigirse a los desarrolladores originales de ese software.
Tipo de error Proyectos principales Proyectos predeterminados Proyectos de baja prioridad Vulnerabilidades de la cadena de suministro $3,133.7 – $31,337 1,337 $13,337 – $500 7,500 Vulnerabilidades del producto $101 – $3,133.7 $1,000 – $500 – Otras vulnerabilidades $XNUMX $XNUMX –