三年大片免费观看大全电影,三年成全免费观看影视大全,三年中文在线观看免费高清第4版,三年成全在线观看免费版,三年成全免费高清大全,三年大片免费高清哔哩哔哩

    Google邀請bug賞金獵人來審查其開源項目

    2022/9/1 10:48:59 人評論

    Google邀請bug賞金獵人來審查其開源項目

     谷歌希望通過對發(fā)現的bug提供獎勵來提高其開源項目和這些項目的第三方依賴關系的安全性。

    “根據漏洞的嚴重程度和項目的重要性,獎勵將從100美元到31337美元不等。更大的金額也將用于不尋?;蛱貏e關鍵的漏洞,用于鼓勵創(chuàng)造力,”谷歌員工弗朗西斯·佩龍(Francis Perron)和科托維茨(Krzysztof Kotowicz)解釋道。

     

    Google為其開源軟件中的漏洞提供獎勵

     谷歌的開源軟件漏洞獎勵計劃(OSS VRP)包括:

    ?存儲在谷歌擁有的GitHub組織的公共存儲庫中的開源軟件的最新版本,以及托管在其他平臺上的選定存儲庫

    ?存儲庫配置設置(例如,GitHub操作、訪問控制規(guī)則、GitHu應用程序配置)

    ?第三方依賴關系中的漏洞(如果它們可以在谷歌開源項目中觸發(fā)或利用)

     

    “首先,我們歡迎提交文件指出影響源代碼或構建完整性的漏洞,這些漏洞可能會導致供應鏈受損。供應鏈漏洞包括破壞Google OSS源代碼的能力,以及通過包管理器分發(fā)給用戶的構建工件或包,”谷歌指出。

    他們還希望在Google OSS中出現導致產品漏洞的設計或實現問題時得到警告(例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等)

     

    最后,他們希望了解可能影響目標項目安全的各種問題,如個人項目中存儲的敏感憑據、不安全的安裝/軟件使用說明、公共存儲備份中的憑據泄漏等。

    對于谷歌旗艦OSS項目中報告的漏洞,獎勵將更高,例如:

    ?Bazel(軟件構建和測試自動化工具)

    ?Angularweb應用程序框架)

    ?Golang)編程語言

    ?Protocol Buffers(用于序列化結構化數據的數據格式)

    ?Fuchsia OS

     

    谷歌表示,隨著時間的推移,其他項目也將加入這一計劃,并指出,提交導致供應鏈妥協(xié)的漏洞可能會得到高達31337美元的賞金。

    對于標準OSS項目中的bug,獎勵要低得多,對于低優(yōu)先級OSS項目(例如,社區(qū)影響小、沒有可執(zhí)行代碼的項目)中的bug也沒有獎勵。

    圖片.png

    改善供應鏈安全

     PerronKotowicz補充說:“這項新計劃的加入解決了日益普遍的供應鏈受到威脅的現實?!薄?/span>

    “去年,針對開源供應鏈的攻擊比去年增加了650%,包括CodecovLog4j漏洞等頭條新聞事件,這些事件顯示了單一開源漏洞的破壞潛力。谷歌的OSS VRP是我們100億美元改善網絡安全承諾的一部分,包括保護供應鏈抵御此類型的攻擊,同時也為谷歌全球用戶和開源用戶提供保護?!?/span>


    ×