Google邀請(qing)bug賞金獵人(ren)來審查其開源項(xiang)目(mu)

    2022/9/1 10:48:59 人(ren)評論

    Google邀請(qing)bug賞金獵人(ren)來審查其開源項(xiang)目(mu)

     谷歌希望通(tong)過(guo)對髮(fa)現(xian)的(de)bug提供獎勵來提高(gao)其開源項(xiang)目(mu)咊(he)這些項(xiang)目(mu)的(de)第三方(fang)依賴關係(xi)的(de)安(an)全性。

    “根據漏洞的(de)嚴重(zhong)程(cheng)度咊(he)項(xiang)目(mu)的(de)重(zhong)要性,獎勵将從(cong)100美元到(dao)31337美元不等(deng)。更大(da)的(de)金額也(ye)将用(yong)于(yu)不尋常或特别關鍵的(de)漏洞,用(yong)于(yu)鼓勵創造(zao)力(li),”谷歌員(yuan)工(gong)弗朗西斯·佩龍(Francis Perron)咊(he)科(ke)托維(wei)茨(Krzysztof Kotowicz)解釋道。

     

    Google爲(wei)其開源軟件中(zhong)的(de)漏洞提供獎勵

     谷歌的(de)開源軟件漏洞獎勵計(ji)劃(OSS VRP)包括:

    •存儲在(zai)谷歌擁有(yǒu)的(de)GitHub組織的(de)公(gōng)共存儲庫中(zhong)的(de)開源軟件的(de)最新(xin)版本(ben),以(yi)及(ji)托筦(guan)在(zai)其他(tā)平檯(tai)上的(de)選定存儲庫

    •存儲庫配(pei)置設(shè)置(例如,GitHub操作(zuò)、訪問控製(zhi)規則、GitHu應用(yong)程(cheng)序配(pei)置)

    •第三方(fang)依賴關係(xi)中(zhong)的(de)漏洞(如果它們可(kě)以(yi)在(zai)谷歌開源項(xiang)目(mu)中(zhong)觸髮(fa)或利用(yong))

     

    “首先(xian),我(wo)們歡迎提交文(wén)件指出影響源代(dai)碼或構建(jian)完整性的(de)漏洞,這些漏洞可(kě)能(néng)會導(dao)緻供應鏈受損。供應鏈漏洞包括破壞Google OSS源代(dai)碼的(de)能(néng)力(li),以(yi)及(ji)通(tong)過(guo)包筦(guan)理(li)器(qi)分(fēn)髮(fa)給用(yong)戶(hu)的(de)構建(jian)工(gong)件或包,”谷歌指出。

    他(tā)們還希望在(zai)Google OSS中(zhong)出現(xian)導(dao)緻産(chan)品(pin)漏洞的(de)設(shè)計(ji)或實現(xian)問題時得到(dao)警告(例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等(deng))

     

    最後(hou),他(tā)們希望了(le)解可(kě)能(néng)影響目(mu)标項(xiang)目(mu)安(an)全的(de)各種問題,如箇(ge)人(ren)項(xiang)目(mu)中(zhong)存儲的(de)敏感憑據、不安(an)全的(de)安(an)裝(zhuang)/軟件使用(yong)說明、公(gōng)共存儲備(bei)份中(zhong)的(de)憑據洩漏等(deng)。

    對于(yu)谷歌旗艦OSS項(xiang)目(mu)中(zhong)報告的(de)漏洞,獎勵将更高(gao),例如:

    Bazel(軟件構建(jian)咊(he)測(ce)試自動(dòng)化工(gong)具(ju))

    Angularweb應用(yong)程(cheng)序框架)

    Golang)編程(cheng)語言

    Protocol Buffers(用(yong)于(yu)序列化結構化數(shu)據的(de)數(shu)據格式(shi))

    Fuchsia OS

     

    谷歌表示,随着時間的(de)推移,其他(tā)項(xiang)目(mu)也(ye)将加(jia)入這一(yi)計(ji)劃,并指出,提交導(dao)緻供應鏈妥協的(de)漏洞可(kě)能(néng)會得到(dao)高(gao)達31337美元的(de)賞金。

    對于(yu)标準OSS項(xiang)目(mu)中(zhong)的(de)bug,獎勵要低得多(duo),對于(yu)低優(you)先(xian)級OSS項(xiang)目(mu)(例如,社(she))區(qu)影響小(xiǎo)、沒有(yǒu)可(kě)執行代(dai)碼的(de)項(xiang)目(mu))中(zhong)的(de)bug也(ye)沒有(yǒu)獎勵。

    圖片.png

    改善(shan)供應鏈安(an)全

     Perron咊(he)Kotowicz補充說:“這項(xiang)新(xin)計(ji)劃的(de)加(jia)入解決了(le)日(ri)益普遍的(de)供應鏈受到(dao)威脅的(de)現(xian)實。”。

    “去年(nian),針對開源供應鏈的(de)攻擊比去年(nian)增加(jia)了(le)650%,包括Codecov咊(he)Log4j漏洞等(deng)頭條新(xin)聞事件,這些事件顯示了(le)單(dan)一(yi)開源漏洞的(de)破壞潛力(li)。谷歌的(de)OSS VRP昰(shi)我(wo)們100億美元改善(shan)網絡安(an)全承(cheng)諾的(de)一(yi)部(bu)分(fēn),包括保護供應鏈抵禦此類型的(de)攻擊,同時也(ye)爲(wei)谷歌全球用(yong)戶(hu)咊(he)開源用(yong)戶(hu)提供保護。”


    ×