谷歌创建了漏洞赏金计划,奖励那些在其开源项目中发现和 告漏洞的人,预计将加强软件供应链的安全性。
开源软件漏洞奖励计划(OSS VRP)将向漏洞猎人支付100美元到31337美元(eleet,elite……geddit?),据谷歌开源安全技术项目经理Francis Perron和信息安全工程师Krzysztof Kotowicz称,最高支付将用于“不寻常或特别有趣的漏洞”。
此外,在谷歌维护的开源项目中,发现并 告“最敏感”漏洞的研究人员将获得巨额奖金:Bazel、Angular、Golang、Protocol Buffers和Fuchsia。
这些项目被用于 络巨头的一些产品中:例如,谷歌设计的Go编程语言被广泛用于容器环境的分析,而其fuchsia操作系统则为智能家居设备提供支持,包括Alphabet旗下的Nest。
2021年是供应链和开源软件攻击的重要一年。今年之后,谷歌最新的VPR寻求道德黑客来填补安全漏洞,这可能导致供应链妥协和设计问题,从而导致产品漏洞,以及凭据泄漏,弱密码和不安全的安装。
Perron和Kotowicz写道,“去年,针对开源供应链的攻击比去年增加了650%,其中包括Codecov和Log4j漏洞等头条新闻事件,这显示了单个开源漏洞的破坏潜力。”。
“谷歌的OSS VRP是我们改善 络安全的100亿美元承诺的一部分,包括保护供应链免受谷歌用户和全球开源消费者的此类攻击,”
去年,谷歌向各种vpr中的近700名研究人员支付了总计870万美元的奖金。
这一举措也是私营软件公司和联邦政府改善供应链和开源安全的更广泛努力的一部分。
5月,在白宫会议后,谷歌和其他几家大型技术公司宣布了一项超过3000万美元的承诺,以实施一项改善开源和软件供应链安全的计划。不久之后,谷歌宣布了一项名为“确保开源软件”的服务,旨在让企业更容易保护自己的开源软件依赖关系。
虽然运行良好的漏洞奖励总是受欢迎的,但与其他公司和竞争对手提供的现金相比,谷歌提供的相对吝啬的支付看起来有些廉价,更不用说寻找真正好的漏洞的私人买家了。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!