Google針對旗下開源軟體祭出抓漏獎勵

Google本周二（8/30）針對旗下的開源軟體祭出抓漏獎勵計畫 OSS VRP（Open Source Software Vulnerability Rewards Program），該計畫初期將鎖定Bazel、 Angular、Golang、Protocol buffers與Fuchsia等軟體，獎金從100美元到31,337美元不等，Google亦強調，不尋常及有趣的漏洞可能會獲得較高的獎勵，歡迎安全研究人員發揮創意。

Google指出，OSS VRP是為了解決愈來愈普遍的供應鏈資安問題，去年鎖定開源碼供應鏈的攻擊行動增加了650%，Codecov與Log4j漏洞更彰顯出開源碼的單一漏洞可能帶來的毀滅性。此外，OSS VRP也是Google履行100億美元資安基金承諾的一環。

OSS VRP適用於所有公開存放在Google名下的最新開源碼軟體，以及這些開源碼專案的第三方相依項目。Google認為，軟體套件安全性的關鍵因素之一就是其相依項目的安全性，因此第三方相依項目的安全漏洞也在此一計畫的範圍內。

不過，Google鼓勵安全研究人員應該先把漏洞資訊提交給該相依項目的開發者，再證明該漏洞會影響Google開源軟體。

目前Google最樂意看到的漏洞類型包括可造成供應鏈被危害的安全漏洞，因設計不良所導致的產品漏洞，以及憑證外洩、弱密碼或是不安全的安裝等。