Компания Google запустила программу вознаграждения за уязвимости (VRP) еще в 2010 году. Как следует из названия, он побуждает исследователей и экспертов по кибербезопасности выявлять проблемы безопасности и уязвимости, а затем сообщать о них поставщикам в частном порядке. После сообщения об этих ошибках компания исправит их, и тот, кто обнаружит проблему, получит денежное вознаграждение. В течение последних нескольких лет Google работал над унификацией платформы и ее расширением на большее количество платформ. Теперь Google объявил об еще одном расширении, на этот раз в программном обеспечении с открытым исходным кодом (OSS).
Google подчеркивает, что является одним из крупнейших участников и сопровождающих OSS с такими проектами, как Golang, Angular и Fuchsia, и понимает необходимость защиты этой области. Поэтому её программа OSS VRP также направлена на поощрение целенаправленных усилий в этой области.
OSS VRP фокусируется на любом коде OSS в портфолио Google. Это включает не только поддерживаемые ею проекты, но и любые зависимости OSS, поддерживаемые другими поставщиками.
Два типа OSS, на которые распространяется эта VRP, определяются следующим образом:
- Все последние версии программного обеспечения с открытым исходным кодом (включая настройки репозитория), хранящиеся в общедоступных репозиториях организации GitHub, принадлежащей Google;
- Сторонние зависимости этих проектов (необходимо уведомить о затронутых зависимостях перед отправкой в Google OSS VRP).
В настоящее время Google принимает запросы об уязвимостях поставщиков, недостатках дизайна и общих проблемах безопасности, таких как слабые или скомпрометированные учетные данные или небезопасное развертывание. Вознаграждения начинаются со 100 долларов и достигают 31 337 долларов с верхним пределом для более чувствительных проектов, таких как Bazel, Angular, Golang, буферы протокола и Fuchsia.
Google надеется, что совместные усилия сообщества помогут улучшить безопасность OSS. Этот план является частью инвестиций в кибербезопасность в размере 10 миллиардов долларов, о которых Google объявила после встречи с президентом США год назад. Еще в апреле Google пообещал поддержать проект анализа пакетов Open Source Security Foundation (OpenSSF) для обнаружения вредоносных пакетов с открытым исходным кодом.
