O Google está cobrindo seus projetos de código aberto em seu Programa de Recompensas de Vulnerabilidade (VRP). A empresa pagará aos pesquisadores de segurança para encontrar bugs e vulnerabilidades em todo o ecossistema de software de código aberto (Google OSS). Isso inclui software “armazenado em repositórios públicos de organizações GitHub de propriedade do Google”, bem como repositórios hospedados em outras plataformas. Vulnerabilidades nas configurações do repositório também são cobertas por este programa de recompensas de bugs.

Além disso, o VRP cobrirá falhas de segurança em dependências de terceiros no Google OSS. A empresa diz que a segurança de suas dependências é um elemento crítico da segurança de um pacote de software. Portanto, é apropriado cobrir esses também. Mas os pesquisadores de segurança precisam primeiro relatar as vulnerabilidades ao fornecedor das dependências de terceiros e garantir uma correção antes de levar o assunto ao Google para recompensa. Você precisa enviar os detalhes do problema ao Google em até 30 dias após o fornecedor terceirizado lançar uma correção. Você também deve ser capaz de demonstrar que a vulnerabilidade de terceiros pode ser explorada no Google OSS.

Em uma postagem detalhada no site Bug Hunters, o Google afirma que descobrir vulnerabilidades em serviços de terceiros ou plataformas usadas manter e construir o Google OSS agora o qualifica para recompensas no VRP. “Não podemos autorizar você a realizar pesquisas de segurança de ativos que pertencem a outros usuários e empresas em nome deles”, diz o fabricante do Android.

No que diz respeito às vulnerabilidades qualificadas, o Google pagará aos pesquisadores para encontrar problemas como comprometimentos da cadeia de suprimentos, vulnerabilidades de produtos e outros bugs de segurança em seu software de código aberto. De acordo com a Android Police, quem primeiro relatou essa expansão do VRP do Google, as cadeias de suprimentos de código aberto tornaram-se um alvo importante para os hackers usarem como fornecedores de ataques. Esses ataques tiveram um aumento anual de 650% em 2021. A cobertura de projetos de código aberto no VRP pode ajudar bastante a garantir a segurança do software do Google.

Encontrar um bug no software de código aberto do Google pode fazer você ganhar recompensas pesadas

Como sempre, o Google tem vários níveis de recompensa com pagamentos variados. Vulnerabilidades descobertas em projetos emblemáticos de OSS, que incluem Bazel, Angular, Golan, buffers de protocolo e Fuchsia, podem render recompensas de mais de US$ 31.000. O valor da recompensa chega a US$ 13.337 para projetos OSS padrão, enquanto a empresa não especifica o valor para projetos OSS de baixa prioridade. O valor da recompensa também depende do tipo de vulnerabilidade. Comprometimentos na cadeia de suprimentos rendem mais do que vulnerabilidades de produtos e outros problemas de segurança.

Se você for um pesquisador de segurança, visite o site dos caçadores de bugs para obter mais detalhes. Você encontrará todas as informações técnicas sobre os níveis do projeto, vulnerabilidades qualificadas, relatórios de bugs e muito mais.

Categories: IT Info