Google邀請bug賞金(jīn)獵人(rén)來(lái)審查其開(kāi)源項目

 谷歌希望通(tōng)過對(duì)發現(xiàn)的(de)bug提供獎勵來(lái)提高(gāo)其開(kāi)源項目和(hé)這(zhè)些項目的(de)第三方依賴關系的(de)安全性。

“根據漏洞的(de)嚴重程度和(hé)項目的(de)重要性，獎勵将從(cóng)100美(měi)元到31337美(měi)元不等。更大的(de)金(jīn)額也将用于不尋常或特别關鍵的(de)漏洞，用于鼓勵創造力，”谷歌員(yuán)工(gōng)弗朗西(xī)斯·佩龍（Francis Perron）和(hé)科(kē)托維茨（Krzysztof Kotowicz）解釋道(dào)。

Google為(wèi)其開(kāi)源軟件(jiàn)中的(de)漏洞提供獎勵

 谷歌的(de)開(kāi)源軟件(jiàn)漏洞獎勵計(jì)劃（OSS VRP）包括：

•存儲在谷歌擁有(yǒu)的(de)GitHub組織的(de)公共存儲庫中的(de)開(kāi)源軟件(jiàn)的(de)最新版本，以及托管在其他(tā)平台上(shàng)的(de)選定存儲庫

•存儲庫配置設置（例如，GitHub操作(zuò)、訪問(wèn)控制規則、GitHu應用程序配置）

•第三方依賴關系中的(de)漏洞（如果它們可以在谷歌開(kāi)源項目中觸發或利用）

“首先，我們歡迎提交文(wén)件(jiàn)指出影響源代碼或構建完整性的(de)漏洞，這(zhè)些漏洞可能會導緻供應鏈受損。供應鏈漏洞包括破壞Google OSS源代碼的(de)能力，以及通(tōng)過包管理(lǐ)器(qì)分發給用戶的(de)構建工(gōng)件(jiàn)或包，”谷歌指出。

他(tā)們還(hái)希望在Google OSS中出現(xiàn)導緻産品漏洞的(de)設計(jì)或實現(xiàn)問(wèn)題時(shí)得到警告（例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等）

最後，他(tā)們希望了解可能影響目标項目安全的(de)各種問(wèn)題，如個(gè)人(rén)項目中存儲的(de)敏感憑據、不安全的(de)安裝/軟件(jiàn)使用說(shuō)明(míng)、公共存儲備份中的(de)憑據洩漏等。

對(duì)于谷歌旗艦OSS項目中報告的(de)漏洞，獎勵将更高(gāo)，例如：

•Bazel（軟件(jiàn)構建和(hé)測試自(zì)動化(huà)工(gōng)具）

•Angular（web應用程序框架）

•Go（lang）編程語言

•Protocol Buffers（用于序列化(huà)結構化(huà)數據的(de)數據格式）

•Fuchsia OS

谷歌表示，随着時(shí)間(jiān)的(de)推移，其他(tā)項目也将加入這(zhè)一計(jì)劃，并指出，提交導緻供應鏈妥協的(de)漏洞可能會得到高(gāo)達31337美(měi)元的(de)賞金(jīn)。

對(duì)于标準OSS項目中的(de)bug，獎勵要低(dī)得多，對(duì)于低(dī)優先級OSS項目（例如，社區(qū)影響小(xiǎo)、沒有(yǒu)可執行代碼的(de)項目）中的(de)bug也沒有(yǒu)獎勵。

改善供應鏈安全

 Perron和(hé)Kotowicz補充說(shuō)：“這(zhè)項新計(jì)劃的(de)加入解決了日(rì)益普遍的(de)供應鏈受到威脅的(de)現(xiàn)實。”。

“去(qù)年(nián)，針對(duì)開(kāi)源供應鏈的(de)攻擊比去(qù)年(nián)增加了650%，包括Codecov和(hé)Log4j漏洞等頭條新聞事(shì)件(jiàn)，這(zhè)些事(shì)件(jiàn)顯示了單一開(kāi)源漏洞的(de)破壞潛力。谷歌的(de)OSS VRP是我們100億美(měi)元改善網絡安全承諾的(de)一部分，包括保護供應鏈抵禦此類型的(de)攻擊，同時(shí)也為(wèi)谷歌全球用戶和(hé)開(kāi)源用戶提供保護。”