最高超过20万,谷歌发布开源漏洞奖励计划

安全
8月29日,谷歌推出了开源软件漏洞奖励计划 (OSS VRP),是首批特定于开源的漏洞计划之一。

随着供应链攻击威胁与日俱增,全球巨头纷纷出台各种措施,以降低供应链攻击带来的威胁。2022年5月,谷歌就成立乐一个新的“开源维护团队”,专注于加强关键开源项目的安全性。

8月29日,谷歌再次出台新的举措,推出了开源软件漏洞奖励计划 (OSS VRP),是首批特定于开源的漏洞计划之一。奖励金额从100 美元到 31337 美元(约合人民币21万+)不等,以保护生态系统免受供应链攻击。

众所周知,谷歌是Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia 等项目的主要维护者,推出OSS VRP旨在奖励那些可能对更大的开源领域产生重大影响的漏洞发现。由 Google 管理并托管在 GitHub 等公共存储库上的其他项目,以及这些项目中包含的第三方依赖项也符合条件。

白帽黑客提交的漏洞需满足以下要求:

  • 导致供应链受损的漏洞;
  • 导致产品漏洞的设计问题;
  • 其他安全问题,例如敏感或泄露的凭据、弱密码或不安全的安装。

随着针对 Maven、NPM、PyPI 和 RubyGems 的供应链攻击不断升级,加强开源组件,特别是作为许多软件构建块的第三方库,已成为当务之急。

供应链攻击(图片来源:Sonatype)

2021年12月爆发的 Log4j Java 日志库中的Log4Shell漏洞就是一个典型例子,它造成了相当广泛的破坏,并成为改善软件供应链状态的号角。

谷歌Francis Perron 和 Krzysztof Kotowicz 表示:“去年,针对开源供应链的攻击同比增长了650%,包括Codecov和 Log4j 漏洞等在内,这些事件显示了单个开源漏洞的破坏性潜力”。

开源软件漏洞奖励计划是继谷歌2021年11月推出的Linux内核特权升级和Kubernetes逃逸漏洞奖励计划,而制定的又一重要漏洞奖励机制。

参考来源:https://thehackernews.com/2022/08/google-launches-new-open-source-bug.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2020-12-09 19:31:57

Chrome谷歌漏洞

2021-02-07 00:05:27

谷歌漏洞网络安全

2016-08-08 14:25:24

苹果IOS系统

2014-10-29 13:47:20

腾讯

2015-08-24 11:38:02

知道创宇

2021-04-02 14:53:27

网络安全

2023-02-23 18:25:24

漏洞赏金漏洞

2021-10-22 12:48:40

漏洞网络安全网络攻击

2012-08-11 10:18:02

2022-08-31 10:11:51

漏洞赏金计划漏洞

2021-12-07 23:11:15

漏洞微软谷歌

2020-06-09 15:41:13

AI 数据人工智能

2022-12-14 14:45:56

2022-02-14 10:55:29

Google漏洞奖励浏览器

2018-02-09 11:10:05

程序员华为年终奖

2022-09-09 18:37:56

漏洞赏金开源

2020-10-14 10:39:50

漏洞网络攻击网络安全

2017-03-09 20:57:26

2015-02-27 15:14:05

点赞
收藏

51CTO技术栈公众号