Google теперь будет выплачивать вознаграждение за ошибки в программном обеспечении с открытым исходным кодом
вычисления techradar.com Новости

Google теперь будет выплачивать вознаграждение за ошибки в программном обеспечении с открытым исходным кодом

31 августа 2022 г.

Компания Google запустила новую программу, которая будет выплачивать вознаграждение за ошибки, обнаруженные в ее проектах с открытым исходным кодом.

Программа вознаграждения за обнаружение уязвимостей в программном обеспечении с открытым исходным кодом (OSS VRP) является последним дополнением к существующим программам VRP технологического гиганта, предлагающим денежные вознаграждения за открытия.

Компания заявляет, что ее первая программа VRP предназначена для тех, кто помог защитить код Google, был одним из первых в мире. Уже второе десятилетие своего существования Google стремится подчеркнуть свою приверженность поддержке исследователей безопасности и охотников за ошибками.

Ошибки Google OSS

Google сообщает, что программы VRP охватывают различные коды Chrome и Android для более широкой деятельности компании, в результате чего более 38 млн долларов США было выплачено более чем 13 000 пожертвований из 84 стран.

Кроме того, , Google обязалась инвестировать 10 млрд долларов США в повышение кибербезопасности своих пользователей и потребителей программного обеспечения с открытым исходным кодом. .

Google называет Codecov и Log4j двумя наиболее известными инцидентами, которые способствовали увеличению в прошлом году на 650 % атак, направленных на цепочку поставок OSS, по сравнению с предыдущим годом.

Подробнее

> Познакомьтесь с лучшим программным обеспечением для управления исправлениями

> Ошибка в открытом исходном коде делает сотни тысяч сайтов открытыми для атак

> < strong>В настоящее время Google может быть лучшим другом программного обеспечения с открытым исходным кодом

Безопасность Google В блоге говорится, что OSS VRP фокусируется на «всех последних версиях» OSS, хранящихся в принадлежащих Google организационных пространствах GitHub, таких как GoogleAPI и GoogleCloudPlatform, хотя «высшие награды» зарезервированы для наиболее важных проекты, которые Google определяет как Bazel, Angular, Golang, буферы протокола и Fuchsia; список, который, как ожидается, расширится после первоначального развертывания программы.

Цели для любых охотников включают: «уязвимости, которые приводят к компрометации цепочки поставок; проблемы дизайна, вызывающие уязвимости продукта; [и] другие проблемы безопасности, такие как конфиденциальные или просочившиеся учетные данные, слабые пароли или небезопасные установки». Обнаруженные применимые ошибки, которые не относятся конкретно к этой VRP, не должны быть потрачены впустую, и Google обещает перенаправить любые обнаруженные ошибки в соответствующую VRP (и горшок с деньгами).

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE