Google đang bao gồm các dự án mã nguồn mở của mình trong Chương trình Phần thưởng về lỗ hổng bảo mật (VRP). Công ty sẽ trả tiền cho các nhà nghiên cứu bảo mật để tìm ra các lỗi và lỗ hổng trong toàn bộ hệ sinh thái phần mềm nguồn mở (Google OSS) của mình. Điều này bao gồm phần mềm “được lưu trữ trong kho công khai của các tổ chức GitHub do Google sở hữu” cũng như các kho lưu trữ trên các nền tảng khác. Các lỗ hổng trong cài đặt cấu hình kho lưu trữ cũng được đề cập trong chương trình tiền thưởng lỗi này.
Ngoài ra, VRP sẽ bao gồm các lỗi bảo mật trong các phần phụ thuộc của bên thứ ba trong Google OSS. Công ty cho biết bảo mật của các phần phụ thuộc của nó là một yếu tố quan trọng đối với bảo mật của một gói phần mềm. Vì vậy, nó cũng chỉ phù hợp để che những thứ đó. Nhưng các nhà nghiên cứu bảo mật yêu cầu trước tiên phải báo cáo các lỗ hổng bảo mật cho nhà cung cấp phụ thuộc bên thứ ba và đảm bảo bản sửa lỗi trước khi đưa vấn đề lên Google để nhận phần thưởng. Bạn cần gửi chi tiết vấn đề cho Google trong vòng 30 ngày kể từ ngày nhà cung cấp bên thứ ba đưa ra bản sửa lỗi. Bạn cũng phải chứng minh được rằng lỗ hổng của bên thứ ba có thể bị khai thác trong Google OSS.
Trong một bài đăng chi tiết trên trang web Bug Hunters, Google tuyên bố rằng việc phát hiện ra lỗ hổng trong các dịch vụ hoặc nền tảng của bên thứ ba được sử dụng để duy trì và xây dựng Google OSS giờ đây sẽ giúp bạn đủ điều kiện nhận phần thưởng theo VRP. Nhà sản xuất Android cho biết: “Chúng tôi không thể ủy quyền cho bạn thực hiện nghiên cứu bảo mật đối với các tài sản thuộc về người dùng và công ty khác thay mặt họ. chẳng hạn như thỏa hiệp chuỗi cung ứng, lỗ hổng sản phẩm và các lỗi bảo mật khác trong phần mềm nguồn mở của nó. Theo Cảnh sát Android, người đầu tiên đã báo cáo bản mở rộng này VRP của Google, chuỗi cung ứng mã nguồn mở đã trở thành mục tiêu chính để tin tặc sử dụng làm nhà cung cấp tấn công. Các cuộc tấn công như vậy đã chứng kiến mức tăng 650% hàng năm vào năm 2021. Bao gồm các dự án nguồn mở theo VRP có thể giúp bạn đảm bảo an toàn cho phần mềm của Google.
Việc tìm ra lỗi trong phần mềm nguồn mở của Google có thể giúp bạn kiếm được nhiều tiền phần thưởng kếch xù
Như thường lệ, Google có nhiều bậc thưởng với các khoản thanh toán khác nhau. Các lỗ hổng được phát hiện trong các dự án OSS hàng đầu, bao gồm Bazel, Angular, Golan, bộ đệm Giao thức và Fuchsia có thể giúp bạn kiếm được phần thưởng hơn 31.000 đô la. Số tiền thưởng lên tới 13.337 đô la cho các dự án OSS tiêu chuẩn, trong khi công ty không chỉ định số tiền cho các dự án OSS có mức độ ưu tiên thấp. Số tiền thưởng cũng phụ thuộc vào loại lỗ hổng. Các thỏa hiệp trong chuỗi cung ứng kiếm được cho bạn nhiều hơn các lỗ hổng sản phẩm và các vấn đề bảo mật khác.
Nếu bạn là một nhà nghiên cứu bảo mật, bạn có thể truy cập trang web của Thợ săn lỗi để biết thêm chi tiết. Bạn sẽ tìm thấy tất cả thông tin kỹ thuật về các cấp dự án, các lỗ hổng đủ điều kiện, báo cáo lỗi và hơn thế nữa ở đó.