Google artık, Google tarafından yayınlanan açık kaynaklı yazılımın (Google OSS) en son sürümlerindeki hataları bulmaları ve bildirmeleri için güvenlik araştırmacılarına ödeme yapacak.
Şirketin yeni duyurulan Güvenlik Açığı Ödül Programı (VRP), Google yazılım ve depo ayarlarına (GitHub eylemleri, uygulama yapılandırmaları ve erişim kontrol kuralları gibi) odaklanır.
Google’a ait GitHub kuruluşlarının halka açık havuzlarında bulunan yazılımların yanı sıra diğer platformlardaki bazı havuzlar için de geçerlidir.
Google OSS üçüncü taraf bağımlılıklarındaki güvenlik açıkları, hata raporlarının önce güvenlik açığı bulunan paketlerin sahiplerine gönderilmesi koşuluyla bu program kapsamındadır, bu nedenle sorunlar Google’a bulgular hakkında bilgi verilmeden önce ele alınır.
Google, “En büyük ödüller, en hassas projelerde bulunan güvenlik açıklarına verilecek: Bazel, Angular, Golang, Protocol buffers ve Fuchsia.” söz konusu bugün.
Google’ın OSS VRP’si odak noktası, yazılım tedarik zinciri üzerinde en önemli etkiye sahip olacak güvenlik kusurlarıdır.
Bu nedenle şirket, hata ödül avcılarını tedarik zincirinin tehlikeye girmesine, ürün güvenlik açıklarına neden olan tasarım sorunlarına ve sızdırılmış kimlik bilgileri, zayıf parolalar veya güvenli olmayan kurulumlar gibi güvenlik sorunlarına yol açabilecek güvenlik açıklarına odaklanmaya teşvik ediyor.
Bildirilen kusurların ciddiyet düzeyine ve projenin önemine bağlı olarak, nihai ödüller 100$ ile 31.337$ arasında değişmektedir.
Daha büyük ödül miktarları, özellikle ilginç ve olağandışı güvenlik açıklarına gidecek ve en ilginç ve akıllı hatalara da uygulanan 1.000$’a kadar küçük ikramiyeler olacak.
| Kategori | Amiral gemisi OSS projeleri | Standart ÖSS projeleri |
|---|---|---|
| Tedarik zinciri uzlaşmaları | 3,133.7 $ – 31.337 $ | 1.337 $ – 13.337 $ |
| Ürün güvenlik açıkları | 500 $ – 7.500 $ | 101 – 3,133.7 $ |
| Diğer güvenlik sorunları | $1000 dolar | $500 dolar |
“Başlamadan önce, kapsam dışı projeler ve güvenlik açıkları hakkında daha fazla bilgi için lütfen program kurallarına bakın, ardından bilgisayar korsanlığı yapın ve ne bulduğunuzu bize bildirin. Gönderiniz özellikle olağandışıysa, sizinle iletişime geçip sizinle birlikte çalışacağız. doğrudan önceliklendirme ve yanıt için,” dedi Google.
“Bir ödüle ek olarak, katkılarınız için halk tarafından takdir edilebilirsiniz. Ayrıca ödülünüzü hayır kurumlarına asıl miktarın iki katı bağışlamayı da tercih edebilirsiniz.”
Şubat ayında Google da neredeyse ikiye katlanan ödüller Linux Çekirdeği, Kubernetes, Google Kubernetes Engine (GKE) veya kCTF sıfırıncı gün güvenlik açıkları ve benzersiz yararlanma teknikleri kullanan hata açıkları için.
İki ay sonra, Nisan ayında şirket, Android 13 Beta hatalarının VRP aracılığıyla bildirildiğini duyurdu. standart ödülün üstüne %50 bonus alacak 26 Mayıs 2022’ye kadar, Android 13 Beta sürümlerini çalıştıran Pixel Telefonlarda kullanılan Titan M’de tam uzaktan kod yürütme istismar zinciri için maksimum 1,5 milyon dolarlık ödeme.
İlk VRP’sini piyasaya sürdüğünden beri 2010 yılındaGoogle, 13.000’den fazla hatayı bildirdikleri için 84’ten fazla ülkeden binlerce güvenlik araştırmacısına 38 milyon doların üzerinde ödül verdi.
2021’de ödüllendirildi 8.700.000 $ ile rekor kıranAndroid VRP tarihinin en yüksek seviyesi olan bir Android istismar zinciri için 157.000 dolarlık ödeme dahil.