Google spúšťa nový bug bounty program pre svoj vlastný open source softvér. Spoločnosť pridáva projekty, ako sú programovacie jazyky Golang a Angular do svojho existujúceho samospravovaného programu odmeny za chyby. Do rozsahu pôsobnosti spadá aj externý softvér.
Google píše že hosťuje všetky svoje verejné úložiská ako samostatnú súčasť programu odmeňovania za zraniteľnosť. To je vlastný program odmeny za chyby od spoločnosti Google. VRP je rozdelený na rôzne časti, napríklad program pre aplikácie v Obchode Play, ale aj samostatný program pre aplikácie tretích strán. Teraz je pridaný aj program Google OSS. Spoločnosť konkrétne neuvádza rozsah, ale tvrdí, že „všetky verejné úložiská v organizáciách GitHub spoločnosti Google a určité úložiská na iných platformách“ spadajú do tohto rozsahu.
Google spomína množstvo projektov, ktorých dosah je väčší ako ostatné. Za to je aj oveľa vyššia odmena. Sú to vyrovnávacie pamäte Basel, Angular, Golang, Fuschia a Structural Platform Protocol. Tieto projekty patria do najvyššej úrovne odmien. Výnosy sa pohybujú medzi 500 a 31,137 101 dolármi. To posledné sa týka chyby, ktorá môže napadnúť iné produkty vo vývojovom reťazci. Existuje aj úroveň pre štandardné projekty, kde sa odmeny pohybujú od 13,137 do XNUMX XNUMX dolárov. Najnižšia úroveň je pre chyby v repozitároch, ktoré už nie sú sledované alebo sú veľmi malé. Google za to nedáva odmenu.
Google chce, aby sa výskumníci zamerali najmä na aplikácie, ktoré môžu ovplyvniť dodávateľský reťazec. Musí ísť o chyby, ktoré umožňujú úpravu zdrojového kódu softvéru v hlavnej vetve repo obchodu, alebo kde je možné napríklad odcudziť kryptografické kľúče.
Je zarážajúce, že nový bug bounty program ponúka možnosť odoslať zraniteľnosti v závislostiach tretích strán. Okrem toho Google hovorí, že výskumníci by mali najprv osloviť pôvodných vývojárov tohto softvéru.
Typ chyby Hlavné projekty Predvolené projekty Projekty s nízkou prioritou Zraniteľnosť dodávateľského reťazca 3,133.7 31,337 – 1,337 13,337 USD 500 7,500 – 101 3,133.7 USD Zraniteľnosť produktu 1,000 USD – 500 XNUMX USD XNUMX – XNUMX XNUMX USD – Iné chyby zabezpečenia – XNUMX XNUMX USD