谷歌推出了一項新的漏洞獎勵計劃,向在其開源軟件或其軟件的構建塊中發現安全漏洞的研究人員支付報酬。如果發現Angular、GoLang和Fuchsia等項目中的錯誤,以及這些項目代碼庫中包含的第三方依賴項的漏洞,將可獲得支付101元到3萬1337元不等的費用。
雖然對谷歌來說修復自身項目中的錯誤(以及在它用來跟蹤代碼更改的軟件中的錯誤)很重要,但也許最有趣的部分是關於第三方依賴項的部分。程序員經常使用來自開源項目的代碼,這樣他們就不必不斷地重新發明同一個輪子。但由於開發人員經常直接導入開源代碼及其更新,這會增加供應鏈攻擊的可能性。那時,黑客不針對谷歌直接控制的代碼,而是去追蹤這些第三方依賴項。
根據谷歌的規定,開源軟件漏洞獎勵計劃的獎金將取決於漏洞的嚴重程度,以及發現漏洞的項目的重要性(如Fuchsia等被視為「旗艦」項目)。還有一些關於供應鏈漏洞賞金的額外規則——研究人員必須在告訴谷歌之前先通知實際負責第三方項目的人。他們還必須證明該問題影響了谷歌的項目;如果是該公司未使用的資料庫的一部分有錯誤,則不符合該計劃獎勵資格。
谷歌還表示,不希望人們在其用於開源項目的第三方服務或平台上亂闖亂看。如果您發現GitHub存儲庫的配置方式存在問題,那很好;如果您發現GitHub的登錄系統存在問題,則與谷歌無關。谷歌表示,它不能授權人們代表他們對屬於其他用戶和公司的資產進行安全研究。
對於無意金錢獎勵的研究人員,谷歌可以將獎勵捐贈給研究人員挑選的慈善機構,該公司表示會將這些捐款增加一倍。本報訊
