Google está a iniciar un novo programa de recompensas de erros para o seu propio software de código aberto. A compañía está engadindo proxectos como as linguaxes de programación Golang e Angular ao seu programa de recompensas de erros autoxestionado existente. O software externo tamén entra no ámbito.
Google escribe que alberga todos os seus repos públicos como parte separada do Programa de recompensas por vulnerabilidade. Ese é o propio programa de recompensa de erros de Google. VRP divídese en diferentes partes, como un programa para aplicacións na Play Store, pero tamén un programa separado para aplicacións de terceiros. Agora tamén se engade o programa Google OSS. A compañía non enumera o alcance especificamente, pero a compañía di que "todos os repositorios públicos das organizacións GitHub de Google e determinados repositorios doutras plataformas" entran nese ámbito.
Google menciona unha serie de proxectos cuxo impacto é maior que outros. Tamén hai unha recompensa moito maior por isto. Estes son os búfers de protocolo de Basilea, Angular, Golang, Fuschia e Structural Platform. Estes proxectos están dentro do nivel máis alto de recompensas. Renden entre 500 e 31,137 dólares. Este último aplícase a un erro que pode atacar outros produtos nunha cadea de desenvolvemento. Tamén hai un nivel para proxectos estándar, onde as recompensas oscilan entre 101 e 13,137 dólares. O nivel máis baixo é para os erros en repos que xa non se seguen ou son moi pequenos. Google non dá unha recompensa por iso.
En particular, Google quere que os investigadores se centren en aplicacións que poden afectar á cadea de subministración. Deben ser erros que permitan modificar o código fonte do software na rama principal dun repositorio ou onde se poidan roubar, por exemplo, claves criptográficas.
Chama a atención que o novo programa de recompensas de erros ofreza a posibilidade de enviar vulnerabilidades en dependencias de terceiros. Ademais, Google di que os investigadores deben dirixirse primeiro aos desenvolvedores orixinais dese software.
Tipo de erro Proxectos principais Proxectos predeterminados Proxectos de baixa prioridade Vulnerabilidades da cadea de subministración $ 3,133.7 – $ 31,337 $ 1,337 – $ 13,337 Vulnerabilidades do produto $ 500 – $ 7,500 $ 101 – $ 3,133.7 – Outras vulnerabilidades $ 1,000 – $ 500