Google start een nieuw bug bounty-programma voor zijn eigen open source-software. Het bedrijf voegt projecten zoals Golang en Angular programmeertalen toe aan zijn bestaande zelfbeheerde bug bounty-programma. Ook externe software valt binnen de scope.
Kopen Google Reviews schrijft dat het al zijn openbare repo's host als een afzonderlijk onderdeel van het Vulnerability Rewards-programma. Dat is Google's eigen bug bounty-programma. VRP is opgedeeld in verschillende onderdelen, zoals een programma voor apps in de Play Store, maar ook een apart programma voor apps van derden. Nu is ook het Google OSS-programma toegevoegd. Het bedrijf vermeldt het toepassingsgebied niet specifiek, maar het bedrijf zegt dat "alle openbare repositories in de GitHub-organisaties van Google en bepaalde repositories op andere platforms" binnen dat bereik vallen.
Google noemt wel een aantal projecten waarvan de impact groter is dan andere. Hier staat ook een veel hogere beloning tegenover. Dit zijn Basel, Angular, Golang, Fuschia en Structural Platform Protocol Buffers. Die projecten vallen binnen het hoogste niveau van beloningen. Ze brengen tussen de 500 en 31,137 dollar op. Dit laatste is van toepassing op een bug die andere producten in een ontwikkelketen kan aanvallen. Er is ook een niveau voor standaardprojecten, waar de beloningen variëren van 101 tot 13,137 dollar. Het laagste niveau is voor bugs in repo's die niet langer worden bijgehouden of erg klein zijn. Google geeft daar geen beloning voor.
Google wil met name dat onderzoekers zich richten op apps die de supply chain kunnen beïnvloeden. Dit moeten bugs zijn waarmee de broncode van software kan worden aangepast in de hoofdtak van een repo, of waar bijvoorbeeld cryptografische sleutels kunnen worden gestolen.
Opvallend is dat het nieuwe bug bounty-programma de mogelijkheid biedt om kwetsbaarheden in afhankelijkheden van derden in te dienen. Daarnaast zegt Google dat onderzoekers zich eerst moeten richten tot de oorspronkelijke ontwikkelaars van die software.
Type bug Grote projecten Standaardprojecten Projecten met lage prioriteit Kwetsbaarheden in de toeleveringsketen $ 3,133.7 – $ 31,337 $ 1,337 – $ 13,337 Productkwetsbaarheden $ 500 – $ 7,500 $ 101 – $ 3,133.7 – Andere kwetsbaarheden $ 1,000 $ 500 –