Para a alegria dos usuários, e dos pesquisadores, o Google lançou um programa de recompensa de bugs de software de código aberto.
Sim. O Google agora pagará pesquisadores de segurança para encontrar e relatar bugs nas versões mais recentes do software de código aberto lançado pelo Google (Google OSS).
Google lançou um programa de recompensa de bugs de programas abertos
O recém-anunciado Vulnerability Reward Program (VRP) da empresa se concentra no software do Google e nas configurações do repositório (como ações do GitHub, configurações de aplicativos e regras de controle de acesso).
Ela se aplica a softwares disponíveis em repositórios públicos de organizações GitHub de propriedade do Google, bem como a alguns repositórios de outras plataformas.
Vulnerabilidades de segurança nas dependências de terceiros do Google OSS estão no escopo deste programa, com a condição de que os relatórios de bugs sejam enviados primeiro aos proprietários dos pacotes vulneráveis, para que os problemas sejam resolvidos antes de informar o Google sobre as descobertas.
“Os principais prêmios serão para vulnerabilidades encontradas nos projetos mais sensíveis: Bazel, Angular, Golang, buffers de protocolo e Fuchsia.”, disse o Google hoje.
O ponto focal do OSS VRP do Google são as falhas de segurança que teriam o impacto mais significativo na cadeia de suprimentos de software.
Portanto, a empresa incentiva os caçadores de recompensas de bugs a se concentrarem em vulnerabilidades que podem levar ao comprometimento da cadeia de suprimentos, problemas de design que causam vulnerabilidades de produtos e problemas de segurança como credenciais vazadas, senhas fracas ou instalações inseguras.
Com base no nível de gravidade das falhas relatadas e na importância do projeto, as recompensas finais variam de US$ 100 a US$ 31.337.
Os maiores valores de recompensa irão para vulnerabilidades de segurança particularmente interessantes e incomuns, com pequenos bônus de até US$ 1.000 também aplicados aos bugs mais interessantes e inteligentes.
tabela
“Antes de começar, consulte as regras do programa para obter mais informações sobre projetos e vulnerabilidades fora do escopo, faça hackers e nos informe o que encontrou. Se seu envio for particularmente incomum, entraremos em contato e trabalharemos com você diretamente para triagem e resposta”, disse o Google.
“Além de uma recompensa, você pode receber reconhecimento público por sua contribuição. Você também pode optar por doar sua recompensa para caridade pelo dobro do valor original.”
Em fevereiro, o Google também quase dobrou as recompensas para Linux Kernel, Kubernetes, Google Kubernetes Engine (GKE) ou vulnerabilidades de dia zero kCTF e explorações de bugs usando técnicas de exploração exclusivas.
Dois meses depois, em abril, a empresa anunciou que os bugs do Android 13 Beta relatados por meio de seu VRP receberão um bônus de 50% além da recompensa padrão até 26 de maio de 2022, com um pagamento máximo de US$ 1,5 milhão por exploração completa de execução remota de código. chain no Titan M usado em Pixel Phones com versões do Android 13 Beta.
Desde o lançamento de seu primeiro VRP em 2010, o Google recompensou mais de US$ 38 milhões a milhares de pesquisadores de segurança de mais de 84 países por relatar mais de 13.000 bugs.
Em 2021, concedeu um recorde de US$ 8.700.000, incluindo um pagamento de US$ 157.000 por uma cadeia de exploração do Android, o mais alto da história do Android VRP.
