Google邀請(qǐng)bug賞金獵人來(lái)審查其開(kāi)源項(xiàng)目
谷歌希望通過(guò)對(duì)發(fā)現(xiàn)的bug提供獎(jiǎng)勵(lì)來(lái)提高其開(kāi)源項(xiàng)目和這些項(xiàng)目的第三方依賴關(guān)系的安全性。
“根據(jù)漏洞的嚴(yán)重程度和項(xiàng)目的重要性,獎(jiǎng)勵(lì)將從100美元到31337美元不等。更大的金額也將用于不尋常或特別關(guān)鍵的漏洞,用于鼓勵(lì)創(chuàng)造力,”谷歌員工弗朗西斯·佩龍(Francis Perron)和科托維茨(Krzysztof Kotowicz)解釋道。
Google為其開(kāi)源軟件中的漏洞提供獎(jiǎng)勵(lì)
谷歌的開(kāi)源軟件漏洞獎(jiǎng)勵(lì)計(jì)劃(OSS VRP)包括:
?存儲(chǔ)在谷歌擁有的GitHub組織的公共存儲(chǔ)庫(kù)中的開(kāi)源軟件的最新版本,以及托管在其他平臺(tái)上的選定存儲(chǔ)庫(kù)
?存儲(chǔ)庫(kù)配置設(shè)置(例如,GitHub操作、訪問(wèn)控制規(guī)則、GitHu應(yīng)用程序配置)
?第三方依賴關(guān)系中的漏洞(如果它們可以在谷歌開(kāi)源項(xiàng)目中觸發(fā)或利用)
“首先,我們歡迎提交文件指出影響源代碼或構(gòu)建完整性的漏洞,這些漏洞可能會(huì)導(dǎo)致供應(yīng)鏈?zhǔn)軗p。供應(yīng)鏈漏洞包括破壞Google OSS源代碼的能力,以及通過(guò)包管理器分發(fā)給用戶的構(gòu)建工件或包,”谷歌指出。
他們還希望在Google OSS中出現(xiàn)導(dǎo)致產(chǎn)品漏洞的設(shè)計(jì)或?qū)崿F(xiàn)問(wèn)題時(shí)得到警告(例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等)
最后,他們希望了解可能影響目標(biāo)項(xiàng)目安全的各種問(wèn)題,如個(gè)人項(xiàng)目中存儲(chǔ)的敏感憑據(jù)、不安全的安裝/軟件使用說(shuō)明、公共存儲(chǔ)備份中的憑據(jù)泄漏等。
對(duì)于谷歌旗艦OSS項(xiàng)目中報(bào)告的漏洞,獎(jiǎng)勵(lì)將更高,例如:
?Bazel(軟件構(gòu)建和測(cè)試自動(dòng)化工具)
?Angular(web應(yīng)用程序框架)
?Go(lang)編程語(yǔ)言
?Protocol Buffers(用于序列化結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)格式)
?Fuchsia OS
谷歌表示,隨著時(shí)間的推移,其他項(xiàng)目也將加入這一計(jì)劃,并指出,提交導(dǎo)致供應(yīng)鏈妥協(xié)的漏洞可能會(huì)得到高達(dá)31337美元的賞金。
對(duì)于標(biāo)準(zhǔn)OSS項(xiàng)目中的bug,獎(jiǎng)勵(lì)要低得多,對(duì)于低優(yōu)先級(jí)OSS項(xiàng)目(例如,社區(qū)影響小、沒(méi)有可執(zhí)行代碼的項(xiàng)目)中的bug也沒(méi)有獎(jiǎng)勵(lì)。
改善供應(yīng)鏈安全
Perron和Kotowicz補(bǔ)充說(shuō):“這項(xiàng)新計(jì)劃的加入解決了日益普遍的供應(yīng)鏈?zhǔn)艿酵{的現(xiàn)實(shí)。”。
“去年,針對(duì)開(kāi)源供應(yīng)鏈的攻擊比去年增加了650%,包括Codecov和Log4j漏洞等頭條新聞事件,這些事件顯示了單一開(kāi)源漏洞的破壞潛力。谷歌的OSS VRP是我們100億美元改善網(wǎng)絡(luò)安全承諾的一部分,包括保護(hù)供應(yīng)鏈抵御此類型的攻擊,同時(shí)也為谷歌全球用戶和開(kāi)源用戶提供保護(hù)?!?/span>