Google宣布擴展針對開源軟件的新一期漏洞獎勵計劃

Google早在2010年就推出了漏洞獎勵計劃（VRP）。顧名思義，它鼓勵研究人員和網(wǎng)絡(luò)安全專家檢測安全問題和漏洞，然后私下向供應(yīng)商報告。報告后，這些漏洞將被公司修復(fù)，發(fā)現(xiàn)問題的人將獲得金錢獎勵。在過去幾年中，Google一直致力于統(tǒng)一該平臺，并將其擴展到更多平臺。今天，該公司宣布了又一次擴張，這次是在開放源代碼軟件（OSS）領(lǐng)域。

Google強調(diào)，它是開放源碼軟件最大的貢獻者和維護者之一，旗下有Golang、Angular和Fuchsia等項目，因此它理解保護這一領(lǐng)域的必要性。因此，它的OSS VRP計劃也是為了鼓勵在這方面的努力。

OSS VRP側(cè)重于Google旗下的任何OSS代碼。這不僅包括其維護的項目，還包括由其他供應(yīng)商維護的任何OSS依賴。本VRP所涵蓋的兩類開放源碼軟件定義如下：

儲存在Google旗下GitHub組織的公共存儲庫中的所有最新版本的開源軟件（包括存儲庫設(shè)置）。

這些項目的第三方依賴（在提交給Google的OSS VRP之前需要事先通知受影響的依賴方）

Google現(xiàn)在接受的提交類型包括供應(yīng)鏈妥協(xié)、設(shè)計缺陷和一般的安全問題，如薄弱或泄露的憑證，或不安全的部署。獎勵從100美元開始，最高可達31337美元，不過，上限通常針對更敏感的項目，如Bazel、Angular、Golang、協(xié)議緩沖區(qū)和Fuchsia。

Google希望這種社區(qū)驅(qū)動的合作努力將有助于提高開放源碼軟件的安全性。該倡議是Google一年前與美國總統(tǒng)拜登會面后宣布的100億美元網(wǎng)絡(luò)安全投資的一部分。早在4月，Google承諾支持開源安全基金會（OpenSSF）的軟件包分析項目，以檢測惡意的開源軟件包也。