Google邀請(qǐng)bug賞金獵人來(lái)審查其開(kāi)源項(xiàng)目

 谷歌希望通過(guò)對(duì)發(fā)現(xiàn)的bug提供獎(jiǎng)勵(lì)來(lái)提高其開(kāi)源項(xiàng)目和這些項(xiàng)目的第三方依賴(lài)關(guān)系的安全性。

“根據(jù)漏洞的嚴(yán)重程度和項(xiàng)目的重要性，獎(jiǎng)勵(lì)將從100美元到31337美元不等。更大的金額也將用于不尋?；蛱貏e關(guān)鍵的漏洞，用于鼓勵(lì)創(chuàng)造力，”谷歌員工弗朗西斯·佩龍（Francis Perron）和科托維茨（Krzysztof Kotowicz）解釋道。

Google為其開(kāi)源軟件中的漏洞提供獎(jiǎng)勵(lì)

 谷歌的開(kāi)源軟件漏洞獎(jiǎng)勵(lì)計(jì)劃（OSS VRP）包括：

?存儲(chǔ)在谷歌擁有的GitHub組織的公共存儲(chǔ)庫(kù)中的開(kāi)源軟件的最新版本，以及托管在其他平臺(tái)上的選定存儲(chǔ)庫(kù)

?存儲(chǔ)庫(kù)配置設(shè)置（例如，GitHub操作、訪(fǎng)問(wèn)控制規(guī)則、GitHu應(yīng)用程序配置）

?第三方依賴(lài)關(guān)系中的漏洞（如果它們可以在谷歌開(kāi)源項(xiàng)目中觸發(fā)或利用）

“首先，我們歡迎提交文件指出影響源代碼或構(gòu)建完整性的漏洞，這些漏洞可能會(huì)導(dǎo)致供應(yīng)鏈?zhǔn)軗p。供應(yīng)鏈漏洞包括破壞Google OSS源代碼的能力，以及通過(guò)包管理器分發(fā)給用戶(hù)的構(gòu)建工件或包，”谷歌指出。

他們還希望在Google OSS中出現(xiàn)導(dǎo)致產(chǎn)品漏洞的設(shè)計(jì)或?qū)崿F(xiàn)問(wèn)題時(shí)得到警告（例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等）

最后，他們希望了解可能影響目標(biāo)項(xiàng)目安全的各種問(wèn)題，如個(gè)人項(xiàng)目中存儲(chǔ)的敏感憑據(jù)、不安全的安裝/軟件使用說(shuō)明、公共存儲(chǔ)備份中的憑據(jù)泄漏等。

對(duì)于谷歌旗艦OSS項(xiàng)目中報(bào)告的漏洞，獎(jiǎng)勵(lì)將更高，例如：

?Bazel（軟件構(gòu)建和測(cè)試自動(dòng)化工具）

?Angular（web應(yīng)用程序框架）

?Go（lang）編程語(yǔ)言

?Protocol Buffers（用于序列化結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)格式）

?Fuchsia OS

谷歌表示，隨著時(shí)間的推移，其他項(xiàng)目也將加入這一計(jì)劃，并指出，提交導(dǎo)致供應(yīng)鏈妥協(xié)的漏洞可能會(huì)得到高達(dá)31337美元的賞金。

對(duì)于標(biāo)準(zhǔn)OSS項(xiàng)目中的bug，獎(jiǎng)勵(lì)要低得多，對(duì)于低優(yōu)先級(jí)OSS項(xiàng)目（例如，社區(qū)影響小、沒(méi)有可執(zhí)行代碼的項(xiàng)目）中的bug也沒(méi)有獎(jiǎng)勵(lì)。

改善供應(yīng)鏈安全

 Perron和Kotowicz補(bǔ)充說(shuō)：“這項(xiàng)新計(jì)劃的加入解決了日益普遍的供應(yīng)鏈?zhǔn)艿酵{的現(xiàn)實(shí)?！?。

“去年，針對(duì)開(kāi)源供應(yīng)鏈的攻擊比去年增加了650%，包括Codecov和Log4j漏洞等頭條新聞事件，這些事件顯示了單一開(kāi)源漏洞的破壞潛力。谷歌的OSS VRP是我們100億美元改善網(wǎng)絡(luò)安全承諾的一部分，包括保護(hù)供應(yīng)鏈抵御此類(lèi)型的攻擊，同時(shí)也為谷歌全球用戶(hù)和開(kāi)源用戶(hù)提供保護(hù)。”