Google針對旗下開源軟件祭出漏洞挖掘獎勵

Google本周二（8/30）針對旗下的開源軟件祭出漏洞挖掘獎勵計(jì)劃OSS VRP（Open Source Software Vulnerability Rewards Program），該計(jì)劃初期將鎖定Bazel、Angular、Golang、Protocol buffers與Fuchsia等軟件，獎金從100美元到31,337美元不等，Google也強(qiáng)調(diào)，不尋常及有趣的漏洞可能會獲得較高的獎勵，歡迎安全研究人員發(fā)揮創(chuàng)意。

Google指出，OSS VRP是為了解決越來越普遍的供應(yīng)鏈安全問題，去年鎖定開源供應(yīng)鏈的攻擊行動增加了650%，Codecov與Log4j漏洞更彰顯出開源的單一漏洞可能帶來的毀滅性。此外，OSS VRP也是Google履行100億美元安全基金承諾的一環(huán)。

OSS VRP適用于所有公開存放在Google名下的最新開源軟件，以及這些開源項(xiàng)目的第三方相依項(xiàng)目。Google認(rèn)為，軟件組件安全性的關(guān)鍵因素之一就是其相依項(xiàng)目的安全性，因此第三方相依項(xiàng)目的安全漏洞也在該計(jì)劃的范圍內(nèi)。

不過，Google鼓勵安全研究人員應(yīng)該先把漏洞資訊提交給該相依項(xiàng)目的開發(fā)者，再證明該漏洞會影響Google開源軟件。

目前Google最樂意看到的漏洞類型包括可造成供應(yīng)鏈被危害的安全漏洞，因設(shè)計(jì)不良所導(dǎo)致的產(chǎn)品漏洞，以及憑證外泄、弱密碼或是不安全的安裝等。