Google本周二(8.30)針對(duì)旗下的開(kāi)源軟件祭出漏洞挖掘獎(jiǎng)勵(lì)計(jì)劃OSS VRP(Open Source Software Vulnerability Rewards Program)�,該計(jì)劃初期將鎖定Bazel、Angular����、Golang���、Protocol buffers與Fuchsia等軟件�,獎(jiǎng)金從100美元到31,337美元不等����,Google也強(qiáng)調(diào)��,不尋常及有趣的漏洞可能會(huì)獲得較高的獎(jiǎng)勵(lì)����,歡迎安全研究人員發(fā)揮創(chuàng)意�。
Google本周二(8/30)針對(duì)旗下的開(kāi)源軟件祭出漏洞挖掘獎(jiǎng)勵(lì)計(jì)劃OSS VRP(Open Source Software Vulnerability Rewards Program),該計(jì)劃初期將鎖定Bazel����、Angular、Golang��、Protocol buffers與Fuchsia等軟件�����,獎(jiǎng)金從100美元到31,337美元不等����,Google也強(qiáng)調(diào),不尋常及有趣的漏洞可能會(huì)獲得較高的獎(jiǎng)勵(lì)����,歡迎安全研究人員發(fā)揮創(chuàng)意����。
Google指出�,OSS VRP是為了解決越來(lái)越普遍的供應(yīng)鏈安全問(wèn)題,去年鎖定開(kāi)源供應(yīng)鏈的攻擊行動(dòng)增加了650%��,Codecov與Log4j漏洞更彰顯出開(kāi)源的單一漏洞可能帶來(lái)的毀滅性�。此外,OSS VRP也是Google履行100億美元安全基金承諾的一環(huán)�����。
OSS VRP適用于所有公開(kāi)存放在Google名下的最新開(kāi)源軟件���,以及這些開(kāi)源項(xiàng)目的第三方相依項(xiàng)目�。Google認(rèn)為�,軟件組件安全性的關(guān)鍵因素之一就是其相依項(xiàng)目的安全性,因此第三方相依項(xiàng)目的安全漏洞也在該計(jì)劃的范圍內(nèi)�����。
不過(guò)�,Google鼓勵(lì)安全研究人員應(yīng)該先把漏洞資訊提交給該相依項(xiàng)目的開(kāi)發(fā)者�,再證明該漏洞會(huì)影響Google開(kāi)源軟件��。
目前Google最樂(lè)意看到的漏洞類型包括可造成供應(yīng)鏈被危害的安全漏洞�����,因設(shè)計(jì)不良所導(dǎo)致的產(chǎn)品漏洞�����,以及憑證外泄�����、弱密碼或是不安全的安裝等�。
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
