谷歌吸引赏金猎人参与开源项目

 

谷歌增加了一个专注于其开源项目的漏洞赏金计划。

该公司的开源项目包括著名的软件，如 Go 语言、Angular Web 开发环境和 Fuchsia 操作系统，已确认的错误为他们的发现者赚取了 100 美元（140 新元）和 31,337 美元（对计算器的致敬-代表“eleet”）。

目前在赏金范围内的其他备受瞩目的项目包括 Bazel 构建系统和用于序列化结构化数据的协议缓冲区。

“在最初推出之后，我们计划扩大这个名单，”谷歌的开源安全技术项目经理 Francis Perron 和信息安全工程师 Krzysztof Kotowicz 写道。

两人表示，该计划目前的主要利益是“导致供应链受损的漏洞、导致产品漏洞的设计问题，以及其他安全问题，例如敏感或泄露的凭据、弱密码或不安全的安装”。

“供应链入侵”涵盖“入侵谷歌 OSS 源代码的能力，以及构建通过包管理器分发给用户的人工制品或包的能力。”

产品漏洞是直接的问题，例如内存损坏、清理失败、路径遍历、错误的默认值，甚至是文档中的不安全代码示例。

还有其他类别的错误将被识别：敏感凭据、第三方产品中的弱密码，或“危及产品开发人员的安全性”的安装和使用说明。

谷歌认识到支持开源项目的依赖关系，因此它明确地将第三方漏洞纳入计划范围。

只要研究人员通知第三方包的维护者，谷歌就会接受一个漏洞，如果它可以在谷歌开源包中被触发或利用；并且不早于上游修复可用后 30 天共享。

但是，第三方“服务或平台”不在范围之内。

共有三个项目层，涵盖旗舰项目（Bazel、Angular、Golang、Protocol buffers 和 Fuscia）；标准 OSS 项目；和低优先级的 OSS 项目（这些可能是实验性、样本、小型或低活动项目）。

[国外服务器租用平台的图文来源于网络,如有侵权,请联系我们删除。]