当前位置: 首页 新闻动态

    Google邀请bug赏金猎人来审查其开源项目

    2022/9/1 10:48:59 人评论

    Google邀请bug赏金猎人来审查其开源项目

     谷歌希望通过对发现的bug提供奖励来提高其开源项目和这些项目的第三方依赖关系的安全性。

    “根据漏洞的严重程度和项目的重要性,奖励将从100美元到31337美元不等。更大的金额也将用于不寻常或特别关键的漏洞,用于鼓励创造力,”谷歌员工弗朗西斯·佩龙(Francis Perron)和科托维茨(Krzysztof Kotowicz)解释道。

     

    Google为其开源软件中的漏洞提供奖励

     谷歌的开源软件漏洞奖励计划(OSS VRP)包括:

    •存储在谷歌拥有的GitHub组织的公共存储库中的开源软件的最新版本,以及托管在其他平台上的选定存储库

    •存储库配置设置(例如,GitHub操作、访问控制规则、GitHu应用程序配置)

    •第三方依赖关系中的漏洞(如果它们可以在谷歌开源项目中触发或利用)

     

    “首先,我们欢迎提交文件指出影响源代码或构建完整性的漏洞,这些漏洞可能会导致供应链受损。供应链漏洞包括破坏Google OSS源代码的能力,以及通过包管理器分发给用户的构建工件或包,”谷歌指出。

    他们还希望在Google OSS中出现导致产品漏洞的设计或实现问题时得到警告(例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等)

     

    最后,他们希望了解可能影响目标项目安全的各种问题,如个人项目中存储的敏感凭据、不安全的安装/软件使用说明、公共存储备份中的凭据泄漏等。

    对于谷歌旗舰OSS项目中报告的漏洞,奖励将更高,例如:

    Bazel(软件构建和测试自动化工具)

    Angularweb应用程序框架)

    Golang)编程语言

    Protocol Buffers(用于序列化结构化数据的数据格式)

    Fuchsia OS

     

    谷歌表示,随着时间的推移,其他项目也将加入这一计划,并指出,提交导致供应链妥协的漏洞可能会得到高达31337美元的赏金。

    对于标准OSS项目中的bug,奖励要低得多,对于低优先级OSS项目(例如,社区影响小、没有可执行代码的项目)中的bug也没有奖励。

    图片.png

    改善供应链安全

     PerronKotowicz补充说:“这项新计划的加入解决了日益普遍的供应链受到威胁的现实。”。

    “去年,针对开源供应链的攻击比去年增加了650%,包括CodecovLog4j漏洞等头条新闻事件,这些事件显示了单一开源漏洞的破坏潜力。谷歌的OSS VRP是我们100亿美元改善网络安全承诺的一部分,包括保护供应链抵御此类型的攻击,同时也为谷歌全球用户和开源用户提供保护。”


    返回列表

    相关新闻

    ×