“>
Google は、Vulnerability Rewards Program (VRP) の下でオープンソース プロジェクトをカバーしています。同社は、オープンソース ソフトウェア (Google OSS) エコシステム全体でバグや脆弱性を発見したセキュリティ研究者に報酬を支払います。これには、「Google が所有する GitHub 組織のパブリック リポジトリに保存されている」ソフトウェアや、他のプラットフォームでホストされているリポジトリが含まれます。リポジトリ構成設定の脆弱性も、このバグ報奨金プログラムでカバーされます。
さらに、VRP は、Google OSS のサードパーティ依存関係のセキュリティ上の欠陥をカバーします。同社は、依存関係のセキュリティがソフトウェア パッケージのセキュリティの重要な要素であると述べています。したがって、それらもカバーするのが適切です。ただし、セキュリティ研究者は、まずサードパーティの依存関係のベンダーに脆弱性を報告し、その問題を Google に取り上げて報酬を得る前に、その修正を確認する必要があります。サードパーティ ベンダーが修正をリリースしてから 30 日以内に、問題の詳細を Google に送信する必要があります。また、サードパーティの脆弱性が Google OSS で悪用される可能性があることを証明できなければなりません。
Bug Hunters ウェブサイトの詳細な投稿で、Google は、使用されているサードパーティのサービスまたはプラットフォームで脆弱性を発見すると述べています。 Google OSS を維持および構築することで、VRP で報酬を受け取る資格が得られます。 「他のユーザーや企業に代わって、他のユーザーや企業に属する資産のセキュリティ リサーチを実施することは許可できません」と Android メーカーは述べています。
適格な脆弱性に関する限り、Google はリサーチャーに問題の発見に対して報酬を支払います。サプライ チェーンの侵害、製品の脆弱性、オープンソース ソフトウェアのその他のセキュリティ バグなどです。この拡張を最初に報告した Android Police によると、 Google の VRP、オープンソース サプライ チェーンは、ハッカーが攻撃ベンダーとして使用する主な標的になっています。このような攻撃は、2021 年に年間 650% 増加しました。VRP の下でオープンソース プロジェクトをカバーすることは、Google ソフトウェアのセキュリティを確保する上で大いに役立つ可能性があります。
Google オープンソース ソフトウェアのバグを見つけると、利益が得られる可能性があります。多額の報酬
いつものように、Google にはさまざまなペイアウトの複数の報酬階層があります。 Bazel、Angular、Golan、Protocol buffers、Fuchsia などのフラグシップ OSS プロジェクトで発見された脆弱性により、31,000 ドル以上の報酬を獲得できます。報酬額は、標準の OSS プロジェクトで最高額の 13,337 ドルですが、優先度の低い OSS プロジェクトの報酬額は明記されていません。報酬額は、脆弱性の種類によっても異なります。サプライ チェーンの侵害は、製品の脆弱性やその他のセキュリティ問題よりも多くの利益をもたらします。
セキュリティ研究者の方は、Google の バグ ハンターのウェブサイトをご覧ください。プロジェクト階層、認定脆弱性、バグ報告などに関するすべての技術情報がここにあります。