На этой неделе компания Google представила новую программу вознаграждения за найденные уязвимости. Эта bug bounty предназначена для исследователей, которые обнаружат уязвимости в опенсорсных проектах компании.
Напомню, что bug bounty программы Google работают уже почти 12 лет, и со временем они были распространены на Android, Chrome, ядро Linux и так далее. На сегодняшний день компания выплатила исследователям более 38 миллионов долларов в качестве вознаграждений.
Новая программа получила название Open Source Software Vulnerability Rewards Program (OSS VRP), и максимальный размер вознаграждения, который можно получить в рамках OSS VRP, составит 31 337 долларов, минимальный — 100 долларов. Также небольшие поощрения (примерно 1000 долларов) могут быть выплачены за «особенно умные или интересные уязвимости».
«В прошлом году количество связанных с опенсорсом атак на цепочку поставок увеличилось на 650% по сравнению с прошлым годом, включая такие проблемы, как Codecov и Log4Shell, которые продемонстрировали разрушительный потенциал, которым может обладать всего одна опенсорсная уязвимость», — пишут в Google.
В новой bug bounty программе участвует любое обновленное до актуальной версии ПО из общедоступных репозиториев GitHub принадлежащих Google организаций. Сторонние зависимости таких проектов также включены в программу, однако в этом случае исследователи должны будут уведомить не только Google,
«Пожалуйста, сначала отправьте отчеты об ошибках непосредственному владельцу уязвимого пакета и убедитесь, что проблема решена на апстриме, прежде чем сообщать нам о подробностях уязвимости», — объясняет компания .
В Google призывают исследователей сосредоточиться на уязвимостях, ведущих к компрометации цепочки поставок, на проблемах проектирования, которые порождают баги в продуктах, и также на проблемах безопасности, включая утечки учетных данных и слабые пароли.
