Google lançou um programa de recompensa de bugs de programas abertos

Para a alegria dos usuários, e dos pesquisadores, o Google lançou um programa de recompensa de bugs de software de código aberto.

Sim. O Google agora pagará pesquisadores de segurança para encontrar e relatar bugs nas versões mais recentes do software de código aberto lançado pelo Google (Google OSS).

Google lançou um programa de recompensa de bugs de programas abertos

Google lançou um programa de recompensa de bugs de programas abertos

O recém-anunciado Vulnerability Reward Program (VRP) da empresa se concentra no software do Google e nas configurações do repositório (como ações do GitHub, configurações de aplicativos e regras de controle de acesso).

Ela se aplica a softwares disponíveis em repositórios públicos de organizações GitHub de propriedade do Google, bem como a alguns repositórios de outras plataformas.

Vulnerabilidades de segurança nas dependências de terceiros do Google OSS estão no escopo deste programa, com a condição de que os relatórios de bugs sejam enviados primeiro aos proprietários dos pacotes vulneráveis, para que os problemas sejam resolvidos antes de informar o Google sobre as descobertas.

“Os principais prêmios serão para vulnerabilidades encontradas nos projetos mais sensíveis: Bazel, Angular, Golang, buffers de protocolo e Fuchsia.”, disse o Google hoje.

O ponto focal do OSS VRP do Google são as falhas de segurança que teriam o impacto mais significativo na cadeia de suprimentos de software.

Portanto, a empresa incentiva os caçadores de recompensas de bugs a se concentrarem em vulnerabilidades que podem levar ao comprometimento da cadeia de suprimentos, problemas de design que causam vulnerabilidades de produtos e problemas de segurança como credenciais vazadas, senhas fracas ou instalações inseguras.

Com base no nível de gravidade das falhas relatadas e na importância do projeto, as recompensas finais variam de US$ 100 a US$ 31.337.

Os maiores valores de recompensa irão para vulnerabilidades de segurança particularmente interessantes e incomuns, com pequenos bônus de até US$ 1.000 também aplicados aos bugs mais interessantes e inteligentes.

tabela

“Antes de começar, consulte as regras do programa para obter mais informações sobre projetos e vulnerabilidades fora do escopo, faça hackers e nos informe o que encontrou. Se seu envio for particularmente incomum, entraremos em contato e trabalharemos com você diretamente para triagem e resposta”, disse o Google.

“Além de uma recompensa, você pode receber reconhecimento público por sua contribuição. Você também pode optar por doar sua recompensa para caridade pelo dobro do valor original.”

Em fevereiro, o Google também quase dobrou as recompensas para Linux Kernel, Kubernetes, Google Kubernetes Engine (GKE) ou vulnerabilidades de dia zero kCTF e explorações de bugs usando técnicas de exploração exclusivas.

Dois meses depois, em abril, a empresa anunciou que os bugs do Android 13 Beta relatados por meio de seu VRP receberão um bônus de 50% além da recompensa padrão até 26 de maio de 2022, com um pagamento máximo de US$ 1,5 milhão por exploração completa de execução remota de código. chain no Titan M usado em Pixel Phones com versões do Android 13 Beta.

Desde o lançamento de seu primeiro VRP em 2010, o Google recompensou mais de US$ 38 milhões a milhares de pesquisadores de segurança de mais de 84 países por relatar mais de 13.000 bugs.

Em 2021, concedeu um recorde de US$ 8.700.000, incluindo um pagamento de US$ 157.000 por uma cadeia de exploração do Android, o mais alto da história do Android VRP.

Deixe um comentário

Sair da versão mobile