Google ครอบคลุมโครงการโอเพนซอร์สภายใต้ Vulnerability Rewards Program (VRP) บริษัทจะจ่ายเงินให้นักวิจัยด้านความปลอดภัยเพื่อค้นหาจุดบกพร่องและช่องโหว่ในระบบนิเวศของซอฟต์แวร์โอเพนซอร์ส (Google OSS) ทั้งหมด ซึ่งรวมถึงซอฟต์แวร์ “ที่จัดเก็บไว้ในที่เก็บสาธารณะขององค์กร GitHub ที่ Google เป็นเจ้าของ” เช่นเดียวกับที่เก็บที่โฮสต์บนแพลตฟอร์มอื่นๆ ช่องโหว่ในการตั้งค่าการกำหนดค่าที่เก็บจะอยู่ภายใต้โปรแกรมระบุจุดบกพร่องนี้ด้วย
นอกจากนี้ VRP จะครอบคลุมข้อบกพร่องด้านความปลอดภัยในการพึ่งพาบุคคลที่สามใน Google OSS บริษัทกล่าวว่าความปลอดภัยของการพึ่งพานั้นเป็นองค์ประกอบสำคัญของความปลอดภัยของแพ็คเกจซอฟต์แวร์ ดังนั้นจึงเหมาะสมที่จะครอบคลุมสิ่งเหล่านั้นด้วย แต่นักวิจัยด้านความปลอดภัยจำเป็นต้องรายงานช่องโหว่ดังกล่าวไปยังผู้ขายของการอ้างอิงจากบุคคลที่สามก่อน และทำการแก้ไขให้เรียบร้อยก่อนที่จะส่งเรื่องไปยัง Google เพื่อรับรางวัล คุณต้องส่งรายละเอียดปัญหาไปยัง Google ภายใน 30 วันหลังจากที่ผู้ให้บริการบุคคลที่สามเผยแพร่การแก้ไข นอกจากนี้ คุณต้องสามารถแสดงให้เห็นว่าสามารถใช้ประโยชน์จากช่องโหว่ของบุคคลที่สามใน Google OSS ได้
ในโพสต์โดยละเอียดบนเว็บไซต์ Bug Hunters Google ระบุว่าพบช่องโหว่ในบริการหรือแพลตฟอร์มของบุคคลที่สามที่ใช้ เพื่อรักษาและสร้าง Google OSS จะทำให้คุณมีสิทธิ์ได้รับรางวัลภายใต้ VRP “เราไม่สามารถอนุญาตให้คุณดำเนินการวิจัยด้านความปลอดภัยของทรัพย์สินที่เป็นของผู้ใช้รายอื่นและบริษัทในนามของพวกเขา” ผู้ผลิต Android กล่าว
สำหรับช่องโหว่ที่เข้าเงื่อนไข Google จะจ่ายเงินให้นักวิจัยในการค้นหาปัญหา เช่น การประนีประนอมในห่วงโซ่อุปทาน ช่องโหว่ของผลิตภัณฑ์ และข้อบกพร่องด้านความปลอดภัยอื่นๆ ในซอฟต์แวร์โอเพนซอร์ส ตาม Android Police ที่รายงานส่วนขยายนี้ก่อน ของ VRP ของ Google ห่วงโซ่อุปทานโอเพ่นซอร์สได้กลายเป็นเป้าหมายหลักสำหรับแฮกเกอร์เพื่อใช้เป็นผู้จำหน่ายการโจมตี การโจมตีดังกล่าวเพิ่มขึ้น 650 เปอร์เซ็นต์ต่อปีในปี 2564 การครอบคลุมโครงการโอเพนซอร์ซภายใต้ VRP อาจช่วยรับประกันความปลอดภัยของซอฟต์แวร์ Google
การค้นหาจุดบกพร่องในซอฟต์แวร์โอเพนซอร์สของ Google อาจทำให้คุณได้รับ รางวัลมากมาย
เช่นเคย Google มีระดับรางวัลหลายระดับพร้อมการจ่ายเงินที่แตกต่างกัน ช่องโหว่ที่พบในโปรเจ็กต์ OSS หลัก ซึ่งรวมถึง Bazel, Angular, Golan, Protocol buffers และ Fuchsia อาจทำให้คุณได้รับผลตอบแทนมากกว่า $31,000 จำนวนรางวัลสูงสุดอยู่ที่ 13,337 ดอลลาร์สำหรับโครงการ OSS มาตรฐาน ในขณะที่บริษัทไม่ได้ระบุจำนวนเงินสำหรับโครงการ OSS ที่มีลำดับความสำคัญต่ำ จำนวนรางวัลยังขึ้นอยู่กับประเภทช่องโหว่อีกด้วย การประนีประนอมในห่วงโซ่อุปทานทำให้คุณได้มากกว่าช่องโหว่ของผลิตภัณฑ์และปัญหาด้านความปลอดภัยอื่นๆ
หากคุณเป็นนักวิจัยด้านความปลอดภัย คุณสามารถไปที่ เว็บไซต์ Bug Hunters สำหรับรายละเอียดเพิ่มเติม คุณจะพบข้อมูลทางเทคนิคทั้งหมดเกี่ยวกับระดับของโปรเจ็กต์ ช่องโหว่ที่เข้าเกณฑ์ การรายงานข้อบกพร่อง และอื่นๆ อีกมากมายที่นั่น
