Google本周二(8/30)針對旗下的開源軟體祭出抓漏獎勵計畫 OSS VRP(Open Source Software Vulnerability Rewards Program),該計畫初期將鎖定Bazel、 Angular、Golang、Protocol buffers與Fuchsia等軟體,獎金從100美元到31,337美元不等,Google亦強調,不尋常及有趣的漏洞可能會獲得較高的獎勵,歡迎安全研究人員發揮創意。
Google指出,OSS VRP是為了解決愈來愈普遍的供應鏈資安問題,去年鎖定開源碼供應鏈的攻擊行動增加了650%,Codecov與Log4j漏洞更彰顯出開源碼的單一漏洞可能帶來的毀滅性。此外,OSS VRP也是Google履行100億美元資安基金承諾的一環。
OSS VRP適用於所有公開存放在Google名下的最新開源碼軟體,以及這些開源碼專案的第三方相依項目。Google認為,軟體套件安全性的關鍵因素之一就是其相依項目的安全性,因此第三方相依項目的安全漏洞也在此一計畫的範圍內。
不過,Google鼓勵安全研究人員應該先把漏洞資訊提交給該相依項目的開發者,再證明該漏洞會影響Google開源軟體。
目前Google最樂意看到的漏洞類型包括可造成供應鏈被危害的安全漏洞,因設計不良所導致的產品漏洞,以及憑證外洩、弱密碼或是不安全的安裝等。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15