Google kattaa avoimen lähdekoodin projektinsa VRP (Vulnerability Rewards Program)-ohjelman puitteissa. Yritys maksaa tietoturvatutkijoille virheiden ja haavoittuvuuksien löytämisestä koko avoimen lähdekoodin ohjelmistoekosysteemissä (Google OSS). Tämä sisältää ohjelmistot, jotka on tallennettu Googlen omistamien GitHub-organisaatioiden julkisiin tietovarastoihin, sekä muilla alustoilla isännöidyt tietovarastot. Tämä bugipalkkio-ohjelma kattaa myös tietovaraston kokoonpanoasetusten haavoittuvuudet.
Lisäksi VRP kattaa tietoturvavirheet Google OSS:n kolmansien osapuolien riippuvuuksissa. Yhtiö sanoo, että sen riippuvuuksien turvallisuus on kriittinen osa ohjelmistopaketin turvallisuutta. Joten se sopii vain peittää myös ne. Tietoturvatutkijat kuitenkin vaativat ensin raportoimaan haavoittuvuuksista kolmannen osapuolen riippuvuuksien myyjälle ja varmistamaan niiden korjauksen, ennen kuin he vievät asian Googlelle palkkiota vastaan. Sinun on lähetettävä ongelman tiedot Googlelle 30 päivän kuluessa siitä, kun kolmannen osapuolen toimittaja on julkaissut korjauksen. Sinun on myös pystyttävä osoittamaan, että kolmannen osapuolen haavoittuvuutta voidaan hyödyntää Google OSS:ssa.
Yksityiskohtaisessa viestissä Bug Hunters-verkkosivustollaan Google toteaa, että haavoittuvuuksien löytäminen käytetyistä kolmannen osapuolen palveluista tai alustoista Google OSS:n ylläpitäminen ja rakentaminen tekee sinusta nyt oikeutettuja VRP:n palkintoihin.”Emme voi valtuuttaa sinua tekemään tietoturvatutkimuksia omaisuudesta, joka kuuluu muille käyttäjille ja yrityksille heidän puolestaan”, Android-valmistaja sanoo.
Mitä tulee hyväksyttäviin haavoittuvuuksiin, Google maksaa tutkijoille ongelmien löytämisestä. kuten toimitusketjun vaarantumiset, tuotteiden haavoittuvuudet ja muut tietoturvavirheet sen avoimen lähdekoodin ohjelmistoissa. Android Policen mukaan, joka ilmoitti tästä laajennuksesta. Googlen VRP:stä avoimen lähdekoodin toimitusketjuista on tullut hakkereiden pääkohde hyökkäystoimittajina. Tällaisten hyökkäysten määrä lisääntyi 650 prosenttia vuodessa vuonna 2021. Avoimen lähdekoodin projektien kattaminen VRP:n alaisuudessa voi auttaa varmistamaan Googlen ohjelmistojen turvallisuuden.
Vian löytäminen Googlen avoimen lähdekoodin ohjelmistosta voi ansaita suuret palkinnot
Tavaiseen tapaan Googlella on useita palkintotasoja vaihtelevilla maksuilla. OSS:n lippulaivaprojekteissa löydetyt haavoittuvuudet, joihin kuuluvat Bazel, Angular, Golan, Protocol-puskurit ja Fuchsia, voivat ansaita yli 31 000 dollaria. Palkkion määrä on yli 13 337 dollaria tavallisille OSS-projekteille, kun taas yritys ei määritä summaa alhaisen prioriteetin OSS-projekteille. Palkkion määrä riippuu myös haavoittuvuuden tyypistä. Toimitusketjun kompromissit tuovat sinulle enemmän kuin tuotteiden haavoittuvuudet ja muut tietoturvaongelmat.
Jos olet tietoturvatutkija, voit vierailla Googlen Bug Hunters-sivustolta saat lisätietoja. Sieltä löydät kaikki tekniset tiedot projektin tasoista, hyväksyttävistä haavoittuvuuksista, virheraportoinnista ja muusta.
