Google本周二(8.30)針對旗下的開源軟件祭出漏洞挖掘獎勵計劃OSS VRP(Open Source Software Vulnerability Rewards Program),該計劃初期將鎖定Bazel��、Angular�、Golang����、Protocol buffers與Fuchsia等軟件,獎金從100美元到31,337美元不等��,Google也強調�����,不尋常及有趣的漏洞可能會獲得較高的獎勵��,歡迎安全研究人員發(fā)揮創(chuàng)意��。
Google本周二(8/30)針對旗下的開源軟件祭出漏洞挖掘獎勵計劃OSS VRP(Open Source Software Vulnerability Rewards Program)����,該計劃初期將鎖定Bazel�、Angular�、Golang、Protocol buffers與Fuchsia等軟件�,獎金從100美元到31,337美元不等,Google也強調�,不尋常及有趣的漏洞可能會獲得較高的獎勵,歡迎安全研究人員發(fā)揮創(chuàng)意�。
Google指出,OSS VRP是為了解決越來越普遍的供應鏈安全問題���,去年鎖定開源供應鏈的攻擊行動增加了650%�,Codecov與Log4j漏洞更彰顯出開源的單一漏洞可能帶來的毀滅性���。此外,OSS VRP也是Google履行100億美元安全基金承諾的一環(huán)�。
OSS VRP適用于所有公開存放在Google名下的最新開源軟件,以及這些開源項目的第三方相依項目�。Google認為,軟件組件安全性的關鍵因素之一就是其相依項目的安全性�����,因此第三方相依項目的安全漏洞也在該計劃的范圍內����。
不過�,Google鼓勵安全研究人員應該先把漏洞資訊提交給該相依項目的開發(fā)者�����,再證明該漏洞會影響Google開源軟件�。
目前Google最樂意看到的漏洞類型包括可造成供應鏈被危害的安全漏洞,因設計不良所導致的產品漏洞����,以及憑證外泄、弱密碼或是不安全的安裝等����。
閩公網安備 35010202001226號
