Google邀请bug赏金猎人来审查其开源项目

    2022/9/1 10:48:59 人评论

    Google邀请bug赏金猎人来审查其开源项目

     谷歌希望通过对发现的bug提供奖励来提高其开源项目和这些项目的第三方依赖关系的安全性。

    “根据漏洞的严重程度和项目的重要性,奖励将从100美元到31337美元不等。更大的金额也将用(yòng)于不寻常或特别关键的漏洞,用(yòng)于鼓励创造力,”谷歌员工弗朗西斯·佩龙(Francis Perron)和科(kē)托维茨(Krzysztof Kotowicz)解释道。

     

    Google為(wèi)其开源软件中的漏洞提供奖励

     谷歌的开源软件漏洞奖励计划(OSS VRP)包括:

    •存储在谷歌拥有(yǒu)的GitHub组织的公共存储库中的开源软件的最新(xīn)版本,以及托管在其他(tā)平台上的选定存储库

    •存储库配置设置(例如,GitHub操作、访问控制规则、GitHu应用(yòng)程序配置)

    •第三方依赖关系中的漏洞(如果它们可(kě)以在谷歌开源项目中触发或利用(yòng))

     

    “首先,我们欢迎提交文(wén)件指出影响源代码或构建完整性的漏洞,这些漏洞可(kě)能(néng)会导致供应链受损。供应链漏洞包括破坏Google OSS源代码的能(néng)力,以及通过包管理(lǐ)器分(fēn)发给用(yòng)户的构建工件或包,”谷歌指出。

    他(tā)们还希望在Google OSS中出现导致产品漏洞的设计或实现问题时得到警告(例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等)

     

    最后,他(tā)们希望了解可(kě)能(néng)影响目标项目安全的各种问题,如个人项目中存储的敏感凭据、不安全的安装/软件使用(yòng)说明、公共存储备份中的凭据泄漏等。

    对于谷歌旗舰OSS项目中报告的漏洞,奖励将更高,例如:

    Bazel(软件构建和测试自动化工具)

    Angularweb应用(yòng)程序框架)

    Golang)编程语言

    Protocol Buffers(用(yòng)于序列化结构化数据的数据格式)

    Fuchsia OS

     

    谷歌表示,随着时间的推移,其他(tā)项目也将加入这一计划,并指出,提交导致供应链妥协的漏洞可(kě)能(néng)会得到高达31337美元的赏金。

    对于标准OSS项目中的bug,奖励要低得多(duō),对于低优先级OSS项目(例如,社區(qū)影响小(xiǎo)、没有(yǒu)可(kě)执行代码的项目)中的bug也没有(yǒu)奖励。

    图片.png

    改善供应链安全

     PerronKotowicz补充说:“这项新(xīn)计划的加入解决了日益普遍的供应链受到威胁的现实。”。

    “去年,针对开源供应链的攻击比去年增加了650%,包括CodecovLog4j漏洞等头条新(xīn)闻事件,这些事件显示了单一开源漏洞的破坏潜力。谷歌的OSS VRP是我们100亿美元改善网络安全承诺的一部分(fēn),包括保护供应链抵御此类型的攻击,同时也為(wèi)谷歌全球用(yòng)户和开源用(yòng)户提供保护。”


    ×