Google deckt seine Open-Source-Projekte im Rahmen seines Vulnerability Rewards Program (VRP) ab. Das Unternehmen wird Sicherheitsforscher dafür bezahlen, Fehler und Schwachstellen in seinem gesamten Open-Source-Software-Ökosystem (Google OSS) zu finden. Dies umfasst Software, die „in den öffentlichen Repositories von Google-eigenen GitHub-Organisationen gespeichert ist“, sowie Repositories, die auf anderen Plattformen gehostet werden. Schwachstellen in den Repository-Konfigurationseinstellungen werden ebenfalls von diesem Bug-Bounty-Programm abgedeckt.
Zusätzlich deckt VRP Sicherheitslücken in Abhängigkeiten von Drittanbietern in Google OSS ab. Das Unternehmen sagt, dass die Sicherheit seiner Abhängigkeiten ein kritisches Element der Sicherheit eines Softwarepakets ist. Es ist also nur angebracht, diese auch abzudecken. Aber Sicherheitsforscher müssen die Schwachstellen zuerst dem Anbieter der Drittanbieter-Abhängigkeiten melden und sicherstellen, dass sie behoben werden, bevor sie die Angelegenheit gegen eine Belohnung an Google weiterleiten. Sie müssen die Problemdetails innerhalb von 30 Tagen, nachdem der Drittanbieter eine Fehlerbehebung veröffentlicht hat, an Google übermitteln. Sie müssen auch nachweisen können, dass die Drittanbieter-Schwachstelle in Google OSS ausgenutzt werden kann.
In einem ausführlichen Beitrag auf seiner Bug Hunters-Website gibt Google an, dass die Entdeckung von Schwachstellen in Diensten oder Plattformen von Drittanbietern verwendet wird zur Pflege und zum Aufbau von Google OSS berechtigt Sie jetzt zu Prämien im Rahmen von VRP. „Wir können Sie nicht autorisieren, in deren Namen Sicherheitsrecherchen an Vermögenswerten durchzuführen, die anderen Benutzern und Unternehmen gehören“, sagt der Android-Hersteller.
Was qualifizierende Schwachstellen betrifft, bezahlt Google Forscher für die Suche nach Problemen wie Kompromisse in der Lieferkette, Produktschwachstellen und andere Sicherheitsfehler in seiner Open-Source-Software. Laut Android Police, die diese Erweiterung zuerst gemeldet haben von Googles VRP sind Open-Source-Lieferketten zu einem Hauptziel für Hacker geworden, um sie als Angriffsanbieter zu nutzen. Solche Angriffe verzeichneten im Jahr 2021 eine jährliche Zunahme von 650 %. Die Abdeckung von Open-Source-Projekten unter VRP könnte einen großen Beitrag zur Gewährleistung der Sicherheit von Google-Software leisten.
Wenn Sie einen Fehler in Open-Source-Software von Google finden, können Sie Geld verdienen saftige Prämien
Wie üblich hat Google mehrere Prämienstufen mit unterschiedlichen Auszahlungen. Schwachstellen, die in Flaggschiff-OSS-Projekten entdeckt wurden, darunter Bazel, Angular, Golan, Protocol Buffers und Fuchsia, könnten Ihnen Belohnungen von mehr als 31.000 US-Dollar einbringen. Der Belohnungsbetrag liegt bei 13.337 US-Dollar für Standard-OSS-Projekte, während das Unternehmen den Betrag für OSS-Projekte mit niedriger Priorität nicht angibt. Die Höhe der Belohnung hängt auch von der Art der Schwachstelle ab. Kompromisse in der Lieferkette bringen Ihnen mehr ein als Produktschwachstellen und andere Sicherheitsprobleme.
Wenn Sie ein Sicherheitsforscher sind, können Sie Googles Bug Hunters-Website für weitere Einzelheiten. Dort finden Sie alle technischen Informationen zu den Projektebenen, qualifizierenden Schwachstellen, Fehlerberichten und mehr.
