Google запустив нову програму винагород за пошук вразливостей: є кілька правил

Google запровадив нову програму винагород за пошук вразливостей у програмному забезпеченні. Компанія обіцяє заплатити від $101 до понад $31 тисячі за інформацію про помилки у проєктах Angular, GoLang і Fuchsia або за вразливості у сторонніх залежностях, які включені в кодові бази цих проєктів. Тим дослідникам, яких не мотивують гроші, Google пропонує перевести нагороду на благодійність. В такому випадку суму подвоять.

Згідно з правилами Google, виплати за Open Source Software Vulnerability Rewards Program (OSS VRP) залежатимуть від серйозності помилки, а також важливості проєкту, в якому її виявлено. Найвищі нагороди отримають дослідники, які виявили вразливості в найбільш чутливих проєктах: Bazel, Angular, Golang, Protocol buffers і Fuchsia. Згодом список планують розширити.

Існують також додаткові правила щодо бонусів за вразливі місця в ланцюзі поставок. Дослідники повинні будуть сповістити того, хто насправді відповідає за сторонній проєкт, перш ніж повідомляти Google. Вони також повинні довести, що проблема впливає на проєкт Google. Якщо є помилка в частині бібліотеки, яку компанія не використовує, вона не матиме права на участь у програмі.

Залежно від серйозності вразливості та важливості проєкту, винагорода становитиме від $101 до $31337. Більші суми обіцяють виплатити за незвичайні або особливо цікаві вразливості, тому креативність заохочується.

Дослідникам радять зосередитися на пошуку проблем з дизайном, що спричиняють вразливість продукту, витоках облікових даних, слабких паролях тощо.

The Verge пише, що найцікавішим у цій програмі є акцент на сторонніх залежностях. Програмісти часто використовують код із проєктів з відкритим кодом, щоб не доводилося знову вигадувати те, що вже давно вигадали. Але розробники часто безпосередньо імпортують цей код, а також будь-які його оновлення, це створює можливість атак на ланцюг поставок. Саме тоді хакери націлюються не на код, який безпосередньо контролює Google, а натомість переслідують сторонні залежності.

У 2021-му кількість атак, націлених на ланцюжок поставок з відкритим кодом, зросла на 650% у порівнянні з минулим роком, кажуть у Google. Йдеться, зокрема, про такі інциденти як Codecov і вразливість Log4j, які показали руйнівний потенціал однієї вразливості з відкритим кодом.

Похожие статьи:

Парне програмування. Бути чи не бути

Мене звати Вадим Бараненко, я співпрацюю з ЕРАМ у ролі архітектора рішень. З парним програмуванням ознайомився у 2012-му та практикував...

Женский вопрос: гендерные стереотипы в украинском ИТ. Работа

Это вторая часть материала, посвященная исследованию того, почему в ИТ-индустрии меньше женщин. В первой части речь шла об образовании,...

Frontend дайджест #10: как строить современные библиотеки, работа CSS-селекторов на котах и много докладов с конференций

Почитать Фейсбуковская компания Parse выложила в открытый доступ свои SDK. Пост о том, как строить современные библиотеки. Длинная телега...

Геймдев: какие есть специализации программистов и с чего начинать

Привет. Меня зовут Максим Носатов, я Game Developer, работаю с UE4 и Unity3D. Мой стаж в геймдеве — около 5 лет. Я начинал свою карьеру как Unity3D &...

4 Reasons Why You Should Try an Escape Room

Escape rooms are fast becoming one of the most entertaining ways to spend an evening, as people want to try new experiences and move away from more traditional ways of entertainment. We thought we’d put together a few reasons as to why you...