Google은 자체 오픈 소스 소프트웨어에 대한 새로운 버그 바운티 프로그램을 시작합니다. 이 회사는 기존 자체 관리 버그 바운티 프로그램에 Golang 및 Angular 프로그래밍 언어와 같은 프로젝트를 추가하고 있습니다. 외부 소프트웨어도 범위에 속합니다.
구글 쓰기 Vulnerability Rewards 프로그램의 별도의 일부로 모든 공개 리포지토리를 호스팅합니다. 그것은 Google의 자체 버그 현상금 프로그램입니다. VRP는 Play 스토어의 앱을 위한 프로그램과 타사 앱을 위한 별도의 프로그램과 같이 여러 부분으로 나뉩니다. 이제 Google OSS 프로그램도 추가되었습니다. 회사는 구체적으로 범위를 열거하지 않았지만 회사는 "구글의 GitHub 조직의 모든 공개 저장소와 다른 플랫폼의 특정 저장소"가 해당 범위에 속한다고 말합니다.
Google은 다른 프로젝트보다 영향력이 더 큰 여러 프로젝트를 언급합니다. 이것에 대한 훨씬 더 높은 보상도 있습니다. 이들은 Basel, Angular, Golang, Fuschia 및 Structural Platform Protocol Buffers입니다. 이러한 프로젝트는 가장 높은 보상 등급에 속합니다. 그들은 500 ~ 31,137 달러를 산출합니다. 후자는 개발 체인의 다른 제품을 공격할 수 있는 버그에 적용됩니다. 보상 범위가 101~13,137달러인 표준 프로젝트의 계층도 있습니다. 가장 낮은 계층은 더 이상 추적되지 않거나 매우 작은 저장소의 버그입니다. Google은 이에 대한 보상을 제공하지 않습니다.
특히 Google은 연구원들이 공급망에 영향을 줄 수 있는 앱에 집중하기를 바랍니다. 예를 들어 저장소의 주요 분기 또는 암호화 키를 도난당할 수 있는 곳에서 소프트웨어의 소스 코드를 수정할 수 있는 버그여야 합니다.
새로운 버그 바운티 프로그램이 제XNUMX자 종속성에서 취약점을 제출할 가능성을 제공한다는 점은 놀랍습니다. 또한 Google은 연구원이 먼저 해당 소프트웨어의 원래 개발자에게 문의해야 한다고 말합니다.
버그 유형 주요 프로젝트 기본 프로젝트 낮은 우선 순위 프로젝트 공급망 취약점 $3,133.7 – $31,337 $1,337 – $13,337 제품 취약점 $500 – $7,500 $101 – $3,133.7 – 기타 취약점 $1,000 $500 –