谷歌早在2010年就推出了漏洞奖励计划(VRP)。顾名思义,它鼓励研究人员和网络安全专家检测安全问题和漏洞,然后私下向供应商报告。举报后,这些错误会被公司修复,发现问题的人会获得金钱奖励。在过去的几年里,谷歌一直致力于统一平台,并将其扩展到更多的平台。现在,谷歌宣布了另一次扩张,这次是在开源软件(OSS)领域。
谷歌强调自己是OSS最大的贡献者和维护者之一,有Golang、Angular和Fuchsia等项目,它完全理解保护这一领域的必要性。因此,它的VRP开放源码软件项目也旨在鼓励这一领域的特别努力。
VRP OSS专注于谷歌产品组合下的任何OSS代码。IT之家了解到,这不仅包括它维护的项目,还包括其他供应商维护的任何OSS依赖项。本VRP涵盖的两种操作系统定义如下:
将开源软件的所有最新版本(包括库设置)存储在Google拥有的GitHub组织的公共库中。
这些项目的第三方依赖关系(受影响的依赖关系需要在提交给谷歌的OSS VRP之前提前通知)
谷歌目前接受的提交类型包括供应商漏洞、设计缺陷和一般安全问题,如薄弱或泄露的凭据,或不安全的部署。奖励起价为100美元(约合691元人民币),最高为31337美元(约合21.65万元人民币),上限为Bazel、Angular、Golang、Protocol buffers、Fuchsia等较为敏感的项目。
希望谷歌社区驱动的合作努力将有助于提高开放源码软件的安全性。该计划是谷歌一年前与美国总统会晤后宣布的100亿美元网络安全投资的一部分。早在今年4月,谷歌就承诺支持开源安全基金会(OpenSSF)包分析项目,检测恶意开源包。