Новости Софт 01.09.2022 в 17:19 comment views icon

Google заплатит до $31337 за обнаружение уязвимостей в Open source ПО — собственном или стороннем

author avatar
https://itc.ua/wp-content/uploads/2023/11/photo_2023-11-12_18-48-05-3-96x96.jpg *** https://itc.ua/wp-content/uploads/2023/11/photo_2023-11-12_18-48-05-3-96x96.jpg *** https://itc.ua/wp-content/uploads/2023/11/photo_2023-11-12_18-48-05-3-96x96.jpg

Андрей Русанов

Автор сайта

Google представил программу поощрения найденных уязвимостей в собственном ПО с открытым исходным кодом. Вознаграждение от $101 до $31337 будет выплачиваться за информацию об ошибках в таких проектах, как Angular, GoLang и Fuchsia, или об уязвимостях в сторонних ресурсах, код которых участвует в таких проектах.

Программисты часто используют код из проектов с открытым исходным кодом, во избежание необходимости изобретать велосипед в каждом типичном случае. Но поскольку разработчики часто напрямую импортируют этот код и его обновления, его уязвимости переходят создаваемое с их помощью ПО.

В последние несколько лет использование подобного рода уязвимостей неоднократно угрожало крупным компаниям. В Google самостоятельно проверять открытое ПО, но невозможно уследить за всем его «зоопарком» ограниченными силами.

Поиск уязвимостей

Размер выплат будет зависеть от степени серьезности ошибки, а также важности проекта, в котором она была обнаружена (Fuchsia и подобные считаются «флагманскими» проектами, за работу над ними ожидается наибольшее вознаграждение).

Исследователи должны будут проинформировать о найденной уязвимости разработчиков стороннего проекта, и только после этого обратиться к Google. Они должны будут доказать, что проблема затрагивает проект Google – если в части библиотеки, которую компания не использует, есть ошибка, она не будет допущена к участию в программе.

Также Google не будет платить за ошибки, найденные в причастных к разработке сторонних сервисах, чей код не заимствуется. Например, если проблема обнаружена в настройках или системе входа GitHub, к программе поощрения она отношения не имеет.

Онлайн-курс "Чистий код та патерни проєктування" від robot_dreams.
Прискорюйте й спрощуйте процес розробки.Під менторством лектора з 15-річним досвідом ви навчитеся застосовувати 20+ шаблонів, опануєте рефакторинг і принципи чистого коду.
Детальніше

Программа поощрения поиска уязвимостей в собственных продуктах Google существует более 10 лет, теперь же можно получить награду и за стороннее ПО. Google старается привлечь к поиску и ликвидации уязвимостей все возможные ресурсы – недавно компания заявила, что правительство США должно более активно участвовать в развитии ПО с открытым исходным кодом и обеспечении его безопасности.

Также Google выплачивает гранты украинским стартапам:

Фонд Google отобрал еще 16 украинских стартапов, которые получат гранты (до $100 тыс.) — всего таких уже 33

Источник: The Verge


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить