Google ha lanzado un nuevo programa que pagará recompensas por errores encontrados en sus proyectos de código abierto.
Programa de recompensas por vulnerabilidad de software de código abierto (se abre en una pestaña nueva) (OSS VRP) es la última incorporación a los VRP existentes del gigante tecnológico que ofrece efectivo por descubrimientos.
La compañía dice que su primer VRP, dirigido a aquellos que ayudaron a asegurar el código de Google, fue uno de los primeros en el mundo. Ya en su segunda década de funcionamiento, Google desea destacar su compromiso de apoyar a los investigadores de seguridad y cazadores de errores.
Errores del sistema operativo de Google
Google dice que los VRP cubren varios códigos de Chrome y Android en las operaciones más amplias de la compañía, lo que ha resultado en el pago de más de $ 38 millones a más de 13,000 contribuciones, de un total de 84 países.
Además, Google se comprometió a invertir $10 mil millones para mejorar la ciberseguridad entre sus propios usuarios y consumidores de software de código abierto.
Google cita a Codecov y Log4j como dos de los incidentes más destacados que han contribuido al aumento interanual del 650 % del año pasado en los ataques dirigidos a la cadena de suministro de OSS.
Blog de seguridad de Google (se abre en una pestaña nueva) dice que OSS VRP se enfoca en «todas las versiones actualizadas» de OSS almacenadas en los espacios de organización de GitHub propiedad de Google, como GoogleAPI y GoogleCloudPlatform, aunque los «principales premios» están reservados para los proyectos más sensibles, que Google establece fuera Bazel, Angular, Golang, Protocol buffers y Fuchsia; una lista que se espera que se amplíe después del lanzamiento inicial del programa.
Los objetivos para cualquier cazador incluyen: “vulnerabilidades que conducen al compromiso de la cadena de suministro; problemas de diseño que causan vulnerabilidades del producto; [and] otros problemas de seguridad, como credenciales confidenciales o filtradas, contraseñas débiles o instalaciones inseguras”.
Las recompensas van desde unos miserables $100 hasta $31,337, dependiendo de la gravedad de la vulnerabilidad descubierta; sin embargo, cualquier error aplicable que se encuentre y que no se relacione específicamente con este VRP no se desperdiciará, y Google promete redirigir cualquier hallazgo a la información relevante. VRP (y olla de efectivo).