Google hat ein neues Programm gestartet, das Prämien für Fehler zahlt, die in seinen Open-Source-Projekten gefunden werden.
Das Open-Source-Software-Schwachstellen-Belohnungsprogramm (wird in einem neuen Tab geöffnet) (OSS VRP) ist die neueste Ergänzung zu den bestehenden VRPs des Technologiegiganten, die Geld für Entdeckungen bieten.
Das Unternehmen sagt, dass sein erstes VRP für diejenigen, die dabei geholfen haben, den Code von Google zu sichern, eines der ersten der Welt war. Jetzt, im zweiten Jahrzehnt seines Bestehens, möchte Google sein Engagement für die Unterstützung von Sicherheitsforschern und Fehlerjägern betonen.
Google-Betriebssystemfehler
Laut Google decken die VRPs verschiedene Chrome- und Android-Codes in den breiteren Aktivitäten des Unternehmens ab, was dazu führte, dass mehr als 38 Millionen Euro an mehr als 13,000 Beiträge aus insgesamt 84 Ländern ausgezahlt wurden.
Darüber hinaus hat sich Google verpflichtet, 10.000 Milliarden US-Dollar zu investieren, um die Cybersicherheit seiner eigenen Nutzer und Verbraucher von Open-Source-Software zu verbessern.
Google nennt Codecov und Log4j als zwei der bedeutendsten Vorfälle, die zu der 650-prozentigen Zunahme von Angriffen auf die OSS-Lieferkette im Jahresvergleich beigetragen haben.
Im Google-Sicherheitsblog (öffnet sich in einem neuen Tab) heißt es, dass OSS VRP auf „alle aktualisierten Versionen“ von OSS abzielt, die in Google-eigenen GitHub-Organisationsbereichen wie GoogleAPI und GoogleCloudPlatform gespeichert sind, obwohl die „Top-Belohnungen“ den sensibelsten Projekten vorbehalten sind, die Google als Bazel, Angular, Golang, Protokollpuffer und Fuchsia definiert; Eine Liste, die nach dem ersten Start der Show voraussichtlich noch wachsen wird.
Zu den Zielen aller Jäger gehören: „Schwachstellen, die zu einer Beeinträchtigung der Lieferkette führen; Designprobleme, die Produktschwachstellen verursachen; andere Sicherheitsprobleme, wie vertrauliche oder durchgesickerte Anmeldeinformationen, schwache Passwörter oder unsichere Installationen.
Die Belohnungen reichen von mageren 100 € bis hin zu satten 31,337 €, je nach Schweregrad der entdeckten Schwachstelle, aber alle gefundenen zutreffenden Fehler, die sich nicht speziell auf dieses VRP beziehen, werden nicht verschwendet, und Google verspricht, alle umzuleiten VRPs (und Kätzchen).