Google邀請(qǐng)bug賞金(jīn)獵人來(lái)審查其開(kāi)源項目

 谷歌希望通過對(duì)發現(xiàn)的bug提供獎勵來(lái)提高(gāo)其開(kāi)源項目和(hé)這(zhè)些(xiē)項目的第三方依賴關系的安全性。

“根據漏洞的嚴重程度和(hé)項目的重要性，獎勵将從(cóng)100美(měi)元到(dào)31337美(měi)元不等。更大(dà)的金(jīn)額也(yě)将用(yòng)于不尋常或特别關鍵的漏洞，用(yòng)于鼓勵創造力，”谷歌員工(gōng)弗朗西斯·佩龍（Francis Perron）和(hé)科托維茨（Krzysztof Kotowicz）解釋道(dào)。

Google爲其開(kāi)源軟件中的漏洞提供獎勵

 谷歌的開(kāi)源軟件漏洞獎勵計(jì)劃（OSS VRP）包括：

•存儲在谷歌擁有的GitHub組織的公共存儲庫中的開(kāi)源軟件的最新版本，以及托管在其他(tā)平台上(shàng)的選定存儲庫

•存儲庫配置設置（例如，GitHub操作(zuò)、訪問控制規則、GitHu應用(yòng)程序配置）

•第三方依賴關系中的漏洞（如果它們可以在谷歌開(kāi)源項目中觸發或利用(yòng)）

“首先，我們歡迎提交文(wén)件指出影響源代碼或構建完整性的漏洞，這(zhè)些(xiē)漏洞可能(néng)會(huì)導緻供應鏈受損。供應鏈漏洞包括破壞Google OSS源代碼的能(néng)力，以及通過包管理(lǐ)器分發給用(yòng)戶的構建工(gōng)件或包，”谷歌指出。

他(tā)們還希望在Google OSS中出現(xiàn)導緻産品漏洞的設計(jì)或實現(xiàn)問題時(shí)得到(dào)警告（例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等）

最後，他(tā)們希望了(le)解可能(néng)影響目标項目安全的各種問題，如個人項目中存儲的敏感憑據、不安全的安裝/軟件使用(yòng)說明(míng)、公共存儲備份中的憑據洩漏等。

對(duì)于谷歌旗艦OSS項目中報(bào)告的漏洞，獎勵将更高(gāo)，例如：

•Bazel（軟件構建和(hé)測試自(zì)動化工(gōng)具）

•Angular（web應用(yòng)程序框架）

•Go（lang）編程語言

•Protocol Buffers（用(yòng)于序列化結構化數據的數據格式）

•Fuchsia OS

谷歌表示，随着時(shí)間的推移，其他(tā)項目也(yě)将加入這(zhè)一計(jì)劃，并指出，提交導緻供應鏈妥協的漏洞可能(néng)會(huì)得到(dào)高(gāo)達31337美(měi)元的賞金(jīn)。

對(duì)于标準OSS項目中的bug，獎勵要低(dī)得多，對(duì)于低(dī)優先級OSS項目（例如，社區(qū)影響小(xiǎo)、沒有可執行代碼的項目）中的bug也(yě)沒有獎勵。

改善供應鏈安全

 Perron和(hé)Kotowicz補充說：“這(zhè)項新計(jì)劃的加入解決了(le)日益普遍的供應鏈受到(dào)威脅的現(xiàn)實。”。

“去年，針對(duì)開(kāi)源供應鏈的攻擊比去年增加了(le)650%，包括Codecov和(hé)Log4j漏洞等頭條新聞事(shì)件，這(zhè)些(xiē)事(shì)件顯示了(le)單一開(kāi)源漏洞的破壞潛力。谷歌的OSS VRP是我們100億美(měi)元改善網絡安全承諾的一部分，包括保護供應鏈抵禦此類型的攻擊，同時(shí)也(yě)爲谷歌全球用(yòng)戶和(hé)開(kāi)源用(yòng)戶提供保護。”