Google邀請bug賞金獵人來審查其開源項目

2022/9/1 10:48:59 人評論次

Google邀請bug賞金獵人來審查其開源項目

谷歌希望通過對發(fā)現(xiàn)的bug提供獎勵來提高其開源項目和這些項目的第三方依賴關(guān)系的安全性。

“根據(jù)漏洞的嚴(yán)重程度和項目的重要性，獎勵將從100美元到31337美元不等。更大的金額也將用于不尋?；蛱貏e關(guān)鍵的漏洞，用于鼓勵創(chuàng)造力，”谷歌員工弗朗西斯·佩龍（Francis Perron）和科托維茨（Krzysztof Kotowicz）解釋道。

Google為其開源軟件中的漏洞提供獎勵

谷歌的開源軟件漏洞獎勵計劃（OSS VRP）包括：

?存儲在谷歌擁有的GitHub組織的公共存儲庫中的開源軟件的最新版本，以及托管在其他平臺上的選定存儲庫

?存儲庫配置設(shè)置（例如，GitHub操作、訪問控制規(guī)則、GitHu應(yīng)用程序配置）

?第三方依賴關(guān)系中的漏洞（如果它們可以在谷歌開源項目中觸發(fā)或利用）

“首先，我們歡迎提交文件指出影響源代碼或構(gòu)建完整性的漏洞，這些漏洞可能會導(dǎo)致供應(yīng)鏈?zhǔn)軗p。供應(yīng)鏈漏洞包括破壞Google OSS源代碼的能力，以及通過包管理器分發(fā)給用戶的構(gòu)建工件或包，”谷歌指出。

他們還希望在Google OSS中出現(xiàn)導(dǎo)致產(chǎn)品漏洞的設(shè)計或?qū)崿F(xiàn)問題時得到警告（例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等）

最后，他們希望了解可能影響目標(biāo)項目安全的各種問題，如個人項目中存儲的敏感憑據(jù)、不安全的安裝/軟件使用說明、公共存儲備份中的憑據(jù)泄漏等。

對于谷歌旗艦OSS項目中報告的漏洞，獎勵將更高，例如：

?Bazel（軟件構(gòu)建和測試自動化工具）

?Angular（web應(yīng)用程序框架）

?Go（lang）編程語言

?Protocol Buffers（用于序列化結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)格式）

?Fuchsia OS

谷歌表示，隨著時間的推移，其他項目也將加入這一計劃，并指出，提交導(dǎo)致供應(yīng)鏈妥協(xié)的漏洞可能會得到高達(dá)31337美元的賞金。

對于標(biāo)準(zhǔn)OSS項目中的bug，獎勵要低得多，對于低優(yōu)先級OSS項目（例如，社區(qū)影響小、沒有可執(zhí)行代碼的項目）中的bug也沒有獎勵。

圖片.png

改善供應(yīng)鏈安全

Perron和Kotowicz補充說：“這項新計劃的加入解決了日益普遍的供應(yīng)鏈?zhǔn)艿酵{的現(xiàn)實。”。

“去年，針對開源供應(yīng)鏈的攻擊比去年增加了650%，包括Codecov和Log4j漏洞等頭條新聞事件，這些事件顯示了單一開源漏洞的破壞潛力。谷歌的OSS VRP是我們100億美元改善網(wǎng)絡(luò)安全承諾的一部分，包括保護(hù)供應(yīng)鏈抵御此類型的攻擊，同時也為谷歌全球用戶和開源用戶提供保護(hù)?！?/span>

上一篇:新冠肺炎數(shù)據(jù)在暗網(wǎng)上出售

下一篇:死鎖勒索軟件通過0day漏洞攻擊QNAP NAS設(shè)備

返回列表

海龍科技

Google邀請bug賞金獵人來審查其開源項目

相關(guān)新聞

>數(shù)以千計的 QNAP NAS 設(shè)備被DeadBolt勒索軟件攻擊（CVE-2022-27593）

>IPguard發(fā)布新版本4.51.113.0

>什么是數(shù)據(jù)工程師？

>IPguard發(fā)布新版本4.61.123.0

>祝賀我司續(xù)簽IPguard鉆石代理(最高級)

>IPguard發(fā)布新版本4.54.818.0

>GitLab的Critical RCE bug已修補，請盡快更新?。–VE-2022-2884）

>IPguard發(fā)布新版本4.53.613.0

>屏幕水印技術(shù)有哪些表現(xiàn)形態(tài)

>修復(fù)Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的關(guān)鍵漏洞?。–VE-2022-36804）

Google邀請bug賞金獵人來審查其開源項目

相關(guān)新聞

>數(shù)以千計的 QNAP NAS 設(shè)備被DeadBolt勒索軟件攻擊 （CVE-2022-27593）

>IPguard發(fā)布新版本4.51.113.0

>什么是數(shù)據(jù)工程師？

>IPguard發(fā)布新版本4.61.123.0

>祝賀我司續(xù)簽IPguard鉆石代理(最高級)

>IPguard發(fā)布新版本4.54.818.0

>GitLab的Critical RCE bug已修補，請盡快更新?。–VE-2022-2884）

>IPguard發(fā)布新版本4.53.613.0

>屏幕水印技術(shù)有哪些表現(xiàn)形態(tài)

>修復(fù)Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的關(guān)鍵漏洞?。–VE-2022-36804）

>數(shù)以千計的 QNAP NAS 設(shè)備被DeadBolt勒索軟件攻擊（CVE-2022-27593）

>修復(fù)Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的關(guān)鍵漏洞?。–VE-2022-36804）