Google представил программу поощрения найденных уязвимостей в собственном ПО с открытым исходным кодом. Вознаграждение от $101 до $31337 будет выплачиваться за информацию об ошибках в таких проектах, как Angular, GoLang и Fuchsia, или об уязвимостях в сторонних ресурсах, код которых участвует в таких проектах.
Программисты часто используют код из проектов с открытым исходным кодом, во избежание необходимости изобретать велосипед в каждом типичном случае. Но поскольку разработчики часто напрямую импортируют этот код и его обновления, его уязвимости переходят создаваемое с их помощью ПО.
В последние несколько лет использование подобного рода уязвимостей неоднократно угрожало крупным компаниям. В Google самостоятельно проверять открытое ПО, но невозможно уследить за всем его «зоопарком» ограниченными силами.
Размер выплат будет зависеть от степени серьезности ошибки, а также важности проекта, в котором она была обнаружена (Fuchsia и подобные считаются «флагманскими» проектами, за работу над ними ожидается наибольшее вознаграждение).
Исследователи должны будут проинформировать о найденной уязвимости разработчиков стороннего проекта, и только после этого обратиться к Google. Они должны будут доказать, что проблема затрагивает проект Google – если в части библиотеки, которую компания не использует, есть ошибка, она не будет допущена к участию в программе.
Также Google не будет платить за ошибки, найденные в причастных к разработке сторонних сервисах, чей код не заимствуется. Например, если проблема обнаружена в настройках или системе входа GitHub, к программе поощрения она отношения не имеет.
Программа поощрения поиска уязвимостей в собственных продуктах Google существует более 10 лет, теперь же можно получить награду и за стороннее ПО. Google старается привлечь к поиску и ликвидации уязвимостей все возможные ресурсы – недавно компания заявила, что правительство США должно более активно участвовать в развитии ПО с открытым исходным кодом и обеспечении его безопасности.
Также Google выплачивает гранты украинским стартапам:
Источник: The Verge