谷歌吸引赏金猎人参与开源项目

 

谷歌增加了一个专注于其开源项目的漏洞赏金计划。

该公司的开源项目包括著名的软件,如 Go 语言、Angular Web 开发环境和 Fuchsia 操作系统,已确认的错误为他们的发现者赚取了 100 美元(140 新元)和 31,337 美元(对计算器的致敬-代表“eleet”)。

目前在赏金范围内的其他备受瞩目的项目包括 Bazel 构建系统和用于序列化结构化数据的协议缓冲区。

“在最初推出之后,我们计划扩大这个名单,”谷歌的开源安全技术项目经理 Francis Perron 和信息安全工程师 Krzysztof Kotowicz 写道。

两人表示,该计划目前的主要利益是“导致供应链受损的漏洞、导致产品漏洞的设计问题,以及其他安全问题,例如敏感或泄露的凭据、弱密码或不安全的安装”。

“供应链入侵”涵盖“入侵谷歌 OSS 源代码的能力,以及构建通过包管理器分发给用户的人工制品或包的能力。”

产品漏洞是直接的问题,例如内存损坏、清理失败、路径遍历、错误的默认值,甚至是文档中的不安全代码示例。

还有其他类别的错误将被识别:敏感凭据、第三方产品中的弱密码,或“危及产品开发人员的安全性”的安装和使用说明。

谷歌认识到支持开源项目的依赖关系,因此它明确地将第三方漏洞纳入计划范围。

只要研究人员通知第三方包的维护者,谷歌就会接受一个漏洞,如果它可以在谷歌开源包中被触发或利用;并且不早于上游修复可用后 30 天共享。

但是,第三方“服务或平台”不在范围之内。

共有三个项目层,涵盖旗舰项目(Bazel、Angular、Golang、Protocol buffers 和 Fuscia);标准 OSS 项目;和低优先级的 OSS 项目(这些可能是实验性、样本、小型或低活动项目)。