Google本周二(8.30)針對旗下的開源軟件祭出漏洞挖掘獎勵計劃OSS VRP(Open Source Software Vulnerability Rewards Program),該計劃初期將鎖定Bazel��、Angular�����、Golang����、Protocol buffers與Fuchsia等軟件,獎金從100美元到31,337美元不等��,Google也強調(diào)���,不尋常及有趣的漏洞可能會獲得較高的獎勵���,歡迎安全研究人員發(fā)揮創(chuàng)意。
Google本周二(8/30)針對旗下的開源軟件祭出漏洞挖掘獎勵計劃OSS VRP(Open Source Software Vulnerability Rewards Program)�����,該計劃初期將鎖定Bazel�、Angular、Golang�、Protocol buffers與Fuchsia等軟件,獎金從100美元到31,337美元不等����,Google也強調(diào),不尋常及有趣的漏洞可能會獲得較高的獎勵�,歡迎安全研究人員發(fā)揮創(chuàng)意�����。
Google指出����,OSS VRP是為了解決越來越普遍的供應(yīng)鏈安全問題��,去年鎖定開源供應(yīng)鏈的攻擊行動增加了650%�����,Codecov與Log4j漏洞更彰顯出開源的單一漏洞可能帶來的毀滅性�。此外�����,OSS VRP也是Google履行100億美元安全基金承諾的一環(huán)�����。
OSS VRP適用于所有公開存放在Google名下的最新開源軟件���,以及這些開源項目的第三方相依項目����。Google認(rèn)為,軟件組件安全性的關(guān)鍵因素之一就是其相依項目的安全性��,因此第三方相依項目的安全漏洞也在該計劃的范圍內(nèi)���。
不過����,Google鼓勵安全研究人員應(yīng)該先把漏洞資訊提交給該相依項目的開發(fā)者����,再證明該漏洞會影響Google開源軟件。
目前Google最樂意看到的漏洞類型包括可造成供應(yīng)鏈被危害的安全漏洞�,因設(shè)計不良所導(dǎo)致的產(chǎn)品漏洞,以及憑證外泄�����、弱密碼或是不安全的安裝等����。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號
