×

Google запускает программу Bug Bounty для своего открытого ПО

Google запускает программу Bug Bounty для своего открытого ПО

Багхантер может получить до $31337 и всеобщее признание.

Google теперь будет платить исследователям безопасности за поиск и сообщение об ошибках в последних версиях открытого ПО, выпущенного Google (open-source software, Google OSS).

Недавно запущенная программа вознаграждения за уязвимости (Vulnerability Reward Program, VRP) фокусируется на ПО от Google и настройках репозитория, таких как GitHub Actions, конфигурации приложений и правила контроля доступа. VRP относится к ПО в общедоступных репозиториях GitHub, принадлежащих Google, а также к некоторым репозиториям с других платформ.

Уязвимости в сторонних зависимостях Google OSS входят в программу VRP при условии, что отчеты об ошибках сначала отправляются владельцам уязвимых пакетов, поэтому проблемы должны быть исправлены прежде, чем информировать Google о результатах.

По словам Google , главные награды будут вручены за недостатки в наиболее уязвимых проектах: Bazel, Angular, Golang, Protocol buffers и Fuchsia.

Цель Google OSS VRP — это ошибки безопасности, которые могут оказать наиболее значительное влияние на цепочку поставок ПО. Поэтому компания призывает багхантеров сосредоточиться на уязвимостях, которые могут привести к:

  • компрометации цепочки поставок;
  • проблемах проектирования, вызывающих уязвимости продукта;
  • утечке данных;
  • компрометации паролей;
  • небезопасным конфигурациям.


Плата за различные уязвимости во флагманских и стандартных OSS-проектах Google

В зависимости от уровня опасности обнаруженных недостатков и важности проекта итоговое вознаграждение варьируется от $100 до $31 337. В дополнение к награде специалист может получить общественное признание за свой вклад. Google также предлагает пожертвовать свою награду на благотворительность в размере, вдвое превышающем первоначальную сумму.

Напомним, что за 1 год в ходе Программа Bug Bounty - это денежное вознаграждение, выплачиваемое этичным хакерам получать вознаграждение за обнаружение ошибок безопасности, особенно тех, которые могут привести к взлому целевой системы. Программы Bug Bounty позволяют компаниям использовать сообщество хакеров для постоянного улучшения состояния безопасности своих систем.

" data-html="true" data-original-title="Bug Bounty">Bug Bounty программ Microsoft выплатила $13,7 млн. 335 специалистам .

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.