1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

科技 Google宣布扩展针对开源软件的新一期漏洞奖励计划

本帖由 漂亮的石头2022-08-30 发布。版面名称:新闻聚焦

  1. 漂亮的石头

    漂亮的石头 版主 管理成员

    注册:
    2012-02-10
    帖子:
    486,020
    赞:
    46
    Google早在2010年就推出了漏洞奖励计划(VRP)。顾名思义,它鼓励研究人员和网络安全专家检测安全问题和漏洞,然后私下向供应商报告。报告后,这些漏洞将被公司修复,发现问题的人将获得金钱奖励。在过去几年中,Google一直致力于统一该平台,并将其扩展到更多平台。今天,该公司宣布了又一次扩张,这次是在开放源代码软件(OSS)领域。

    [​IMG]

    Google强调,它是开放源码软件最大的贡献者和维护者之一,旗下有Golang、Angular和Fuchsia等项目,因此它理解保护这一领域的必要性。因此,它的OSS VRP计划也是为了鼓励在这方面的努力。

    OSS VRP侧重于Google旗下的任何OSS代码。这不仅包括其维护的项目,还包括由其他供应商维护的任何OSS依赖。本VRP所涵盖的两类开放源码软件定义如下:

    储存在Google旗下GitHub组织的公共存储库中的所有最新版本的开源软件(包括存储库设置)。

    这些项目的第三方依赖(在提交给Google的OSS VRP之前需要事先通知受影响的依赖方)

    Google现在接受的提交类型包括供应链妥协、设计缺陷和一般的安全问题,如薄弱或泄露的凭证,或不安全的部署。奖励从100美元开始,最高可达31337美元,不过,上限通常针对更敏感的项目,如Bazel、Angular、Golang、协议缓冲区和Fuchsia。

    Google希望这种社区驱动的合作努力将有助于提高开放源码软件的安全性。该倡议是Google一年前与美国总统拜登会面后宣布的100亿美元网络安全投资的一部分。早在4月,Google承诺支持开源安全基金会(OpenSSF)的软件包分析项目,以检测恶意的开源软件包也。

    如果你对参与OSS VRP感兴趣,你可以在这里查看要求和其他流程:

    https://bughunters.google.com/about...e-software-vulnerability-reward-program-rules
     
正在加载...