Google邀请bug赏金猎人来审查其开源项目
谷歌希望通过对发现的bug提供奖励来提高其开源项目和这些项目的第三方依赖关系的安全性。
“根据漏洞的严重程度和项目的重要性,奖励将从100美元到31337美元不等。更大的金额也将用于不寻常或特别关键的漏洞,用于鼓励创造力,”谷歌员工弗朗西斯·佩龙(Francis Perron)和科托维茨(Krzysztof Kotowicz)解释道。
Google为其开源软件中的漏洞提供奖励
谷歌的开源软件漏洞奖励计划(OSS VRP)包括:
•存储在谷歌拥有的GitHub组织的公共存储库中的开源软件的最新版本,以及托管在其他平台上的选定存储库
•存储库配置设置(例如,GitHub操作、访问控制规则、GitHu应用程序配置)
•第三方依赖关系中的漏洞(如果它们可以在谷歌开源项目中触发或利用)
“首先,我们欢迎提交文件指出影响源代码或构建完整性的漏洞,这些漏洞可能会导致供应链受损。供应链漏洞包括破坏Google OSS源代码的能力,以及通过包管理器分发给用户的构建工件或包,”谷歌指出。
他们还希望在Google OSS中出现导致产品漏洞的设计或实现问题时得到警告(例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等)
最后,他们希望了解可能影响目标项目安全的各种问题,如个人项目中存储的敏感凭据、不安全的安装/软件使用说明、公共存储备份中的凭据泄漏等。
对于谷歌旗舰OSS项目中报告的漏洞,奖励将更高,例如:
•Bazel(软件构建和测试自动化工具)
•Angular(web应用程序框架)
•Go(lang)编程语言
•Protocol Buffers(用于序列化结构化数据的数据格式)
•Fuchsia OS
谷歌表示,随着时间的推移,其他项目也将加入这一计划,并指出,提交导致供应链妥协的漏洞可能会得到高达31337美元的赏金。
对于标准OSS项目中的bug,奖励要低得多,对于低优先级OSS项目(例如,社区影响小、没有可执行代码的项目)中的bug也没有奖励。
改善供应链安全
Perron和Kotowicz补充说:“这项新计划的加入解决了日益普遍的供应链受到威胁的现实。”。
“去年,针对开源供应链的攻击比去年增加了650%,包括Codecov和Log4j漏洞等头条新闻事件,这些事件显示了单一开源漏洞的破坏潜力。谷歌的OSS VRP是我们100亿美元改善网络安全承诺的一部分,包括保护供应链抵御此类型的攻击,同时也为谷歌全球用户和开源用户提供保护。”