谷歌推出开源软件漏洞奖励计划，提振软件供应链安全

谷歌推出一项新的漏洞奖励计划，奖励从谷歌开源项目中发现并报告漏洞的安全研究人员。

作为这项新的开源软件漏洞奖励计划 (OSS VRP) 的一部分，谷歌提供的奖励金范围是100美元至31337美元。不过针对“特别聪明或有趣的漏洞”，将会有1000美元左右的额外奖励。

谷歌运行漏洞奖励计划的时间已有12年左右并不断对其扩充，涵盖了安卓、Chrome、Linux 内核等领域。迄今为止，谷歌已向研究人员发放了超过3800万美元的奖励金。

这项新的开源漏洞奖励计划关注开源软件，旨在解决和供应链攻陷相关的风险。

谷歌表示，“去年，针对开源软件供应链的攻击同比增长了650%，出现在新闻头条的事件如 Codecov和Log4Shell 等事件展示了单个开源漏洞的破坏潜力。”

谷歌表示，谷歌所持有的GitHub组织机构公开库中包括的所有当前软件均涵盖在OSS VRP内。同时计划还涵盖这些项目的第三方依赖，不过研究人员必须提前向依赖的所有人发送通知。该奖励计划提到，“请首先将您的漏洞报告直接发给易受攻击数据包的所有人，确保该问题在我们知晓漏洞详情前就已在上游修复。”

涵盖在内的项目分为三个层级，旗舰开源软件项目（这些项目被认为敏感度高）中的漏洞将为研究人员获得更高的奖励。最多奖励金将分配给 Bazel、Angular、Golang、Protocol buffers和Fuchsia。

谷歌鼓励研究人员关注导致供应链攻陷的漏洞、导致产品缺陷的设计问题以及安全问题如凭据泄露、弱密码和不安全的安装程序等。

转自 安全内参，原文链接：https://www.secrss.com/articles/46426

封面来源于网络，如有侵权请联系删除