Google早在2010年就推出了漏洞獎(jiǎng)勵(lì)計(jì)劃(VRP)�。顧名思義,它鼓勵(lì)研究人員和網(wǎng)絡(luò)安全專(zhuān)家檢測(cè)安全問(wèn)題和漏洞�����,然后私下向供應(yīng)商報(bào)告���。
Google早在2010年就推出了漏洞獎(jiǎng)勵(lì)計(jì)劃(VRP)�。顧名思義���,它鼓勵(lì)研究人員和網(wǎng)絡(luò)安全專(zhuān)家檢測(cè)安全問(wèn)題和漏洞�����,然后私下向供應(yīng)商報(bào)告��。報(bào)告后����,這些漏洞將被公司修復(fù),發(fā)現(xiàn)問(wèn)題的人將獲得金錢(qián)獎(jiǎng)勵(lì)�。在過(guò)去幾年中,Google一直致力于統(tǒng)一該平臺(tái)�����,并將其擴(kuò)展到更多平臺(tái)��。今天���,該公司宣布了又一次擴(kuò)張����,這次是在開(kāi)放源代碼軟件(OSS)領(lǐng)域����。
Google強(qiáng)調(diào),它是開(kāi)放源碼軟件最大的貢獻(xiàn)者和維護(hù)者之一,旗下有Golang��、Angular和Fuchsia等項(xiàng)目����,因此它理解保護(hù)這一領(lǐng)域的必要性。因此����,它的OSS VRP計(jì)劃也是為了鼓勵(lì)在這方面的努力�����。
OSS VRP側(cè)重于Google旗下的任何OSS代碼�����。這不僅包括其維護(hù)的項(xiàng)目��,還包括由其他供應(yīng)商維護(hù)的任何OSS依賴��。本VRP所涵蓋的兩類(lèi)開(kāi)放源碼軟件定義如下:
儲(chǔ)存在Google旗下GitHub組織的公共存儲(chǔ)庫(kù)中的所有最新版本的開(kāi)源軟件(包括存儲(chǔ)庫(kù)設(shè)置)�。
這些項(xiàng)目的第三方依賴(在提交給Google的OSS VRP之前需要事先通知受影響的依賴方)
Google現(xiàn)在接受的提交類(lèi)型包括供應(yīng)鏈妥協(xié)、設(shè)計(jì)缺陷和一般的安全問(wèn)題�,如薄弱或泄露的憑證,或不安全的部署。獎(jiǎng)勵(lì)從100美元開(kāi)始���,最高可達(dá)31337美元�,不過(guò)�����,上限通常針對(duì)更敏感的項(xiàng)目���,如Bazel�����、Angular�����、Golang�、協(xié)議緩沖區(qū)和Fuchsia�����。
Google希望這種社區(qū)驅(qū)動(dòng)的合作努力將有助于提高開(kāi)放源碼軟件的安全性����。該倡議是Google一年前與美國(guó)總統(tǒng)拜登會(huì)面后宣布的100億美元網(wǎng)絡(luò)安全投資的一部分����。早在4月�,Google承諾支持開(kāi)源安全基金會(huì)(OpenSSF)的軟件包分析項(xiàng)目,以檢測(cè)惡意的開(kāi)源軟件包也����。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
