當前位置: 首頁 新聞動态

    Google邀請(qǐng)bug賞金獵人(rén)來(lái)審查其開(kāi)源項目

    2022/9/1 10:48:59 人(rén)評論

    Google邀請(qǐng)bug賞金獵人(rén)來(lái)審查其開(kāi)源項目

     谷歌(gē)希望通(tōng)過對發現的bug提供獎勵來(lái)提高(gāo)其開(kāi)源項目和(hé)這些(xiē)項目的第三方依賴關系的安全性。

    “根據漏洞的嚴重程度和(hé)項目的重要性,獎勵将從100美元到31337美元不等。更大(dà)的金額也将用于不尋常或特别關鍵的漏洞,用于鼓勵創造力,”谷歌(gē)員工弗朗西斯·佩龍(Francis Perron)和(hé)科托維茨(Krzysztof Kotowicz)解釋道(dào)。

     

    Google為(wèi)其開(kāi)源軟件中的漏洞提供獎勵

     谷歌(gē)的開(kāi)源軟件漏洞獎勵計(jì)劃(OSS VRP)包括:

    •存儲在谷歌(gē)擁有(yǒu)的GitHub組織的公共存儲庫中的開(kāi)源軟件的最新版本,以及托管在其他平台上(shàng)的選定存儲庫

    •存儲庫配置設置(例如,GitHub操作(zuò)、訪問控制(zhì)規則、GitHu應用程序配置)

    •第三方依賴關系中的漏洞(如果它們可(kě)以在谷歌(gē)開(kāi)源項目中觸發或利用)

     

    “首先,我們歡迎提交文件指出影(yǐng)響源代碼或構建完整性的漏洞,這些(xiē)漏洞可(kě)能會(huì)導緻供應鏈受損。供應鏈漏洞包括破壞Google OSS源代碼的能力,以及通(tōng)過包管理(lǐ)器(qì)分發給用戶的構建工件或包,”谷歌(gē)指出。

    他們還(hái)希望在Google OSS中出現導緻産品漏洞的設計(jì)或實現問題時(shí)得(de)到警告(例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等)

     

    最後,他們希望了解可(kě)能影(yǐng)響目标項目安全的各種問題,如個(gè)人(rén)項目中存儲的敏感憑據、不安全的安裝/軟件使用說明(míng)、公共存儲備份中的憑據洩漏等。

    對于谷歌(gē)旗艦OSS項目中報告的漏洞,獎勵将更高(gāo),例如:

    Bazel(軟件構建和(hé)測試自動化工具)

    Angularweb應用程序框架)

    Golang)編程語言

    Protocol Buffers(用于序列化結構化數(shù)據的數(shù)據格式)

    Fuchsia OS

     

    谷歌(gē)表示,随着時(shí)間(jiān)的推移,其他項目也将加入這一計(jì)劃,并指出,提交導緻供應鏈妥協的漏洞可(kě)能會(huì)得(de)到高(gāo)達31337美元的賞金。

    對于标準OSS項目中的bug,獎勵要低(dī)得(de)多(duō),對于低(dī)優先級OSS項目(例如,社區(qū)影(yǐng)響小(xiǎo)、沒有(yǒu)可(kě)執行(xíng)代碼的項目)中的bug也沒有(yǒu)獎勵。

    圖片.png

    改善供應鏈安全

     Perron和(hé)Kotowicz補充說:“這項新計(jì)劃的加入解決了日益普遍的供應鏈受到威脅的現實。”。

    “去年,針對開(kāi)源供應鏈的攻擊比去年增加了650%,包括Codecov和(hé)Log4j漏洞等頭條新聞事件,這些(xiē)事件顯示了單一開(kāi)源漏洞的破壞潛力。谷歌(gē)的OSS VRP是我們100億美元改善網絡安全承諾的一部分,包括保護供應鏈抵禦此類型的攻擊,同時(shí)也為(wèi)谷歌(gē)全球用戶和(hé)開(kāi)源用戶提供保護。”


    返回列表

    相關新聞

    ×