谷歌吸引赏金猎人参与开源项目 – 安全

谷歌增加了一个专注于其开源项目的漏洞赏金。

该公司的开源项目包括著名的软件，例如 Go 语言、Angular Web 开发环境和 Fuchsia 操作系统，其发现者发现的漏洞已被证实为 100 美元（147 澳元）到 31,337 美元（计算器谈话的小费）关于“精英”）。

目前在赏金范围内的其他值得注意的项目包括 Bazel 构建系统和用于结构化数据排序的协议缓冲区。

“在最初推出之后，我们计划扩大这个列表，”谷歌开源安全技术项目经理 Francis Perron 和信息安全工程师 Krzysztof Kotovic 写的.

这对夫妇表示，该计划目前的主要担忧是“导致供应链受损的漏洞、导致产品漏洞的设计问题以及其他安全问题，例如敏感或泄露的凭据、弱密码或不安全的安装。” “。

供应链黑客包括“破解谷歌 OSS 源代码，并创建通过包管理器分发给用户的项目或包的能力”。

产品中的漏洞是直接问题，例如内存损坏、清理失败、路径遍历、错误默认值，甚至是文档中的不安全代码示例。

还有其他类别的错误将被识别：敏感凭据、第三方产品中的弱密码或“危及产品开发人员安全性”的安装和使用说明。

谷歌认识到对开源项目的依赖，因此它明确地将第三方漏洞置于程序范围内。

只要研究人员通知第三方包维护者，谷歌将接受一个漏洞，如果它可以在开源谷歌包中运行或利用； 在初始修复可用后的 30 天内共享它们。

但是，第三方“服务或平台”不在范围内。

共有三个项目级别，涵盖主要项目（Bazel、Angular、Golang、Protocol buffers 和 Fuscia）； 标准OSS项目； 和低优先级的 OSS 项目（这些可能是试点、样本、小型或低活动项目）。