Новини Софт 01.09.2022 о 17:19 comment views icon

Google заплатить до $31337 за виявлення вразливостей у Open source ПЗ — власному чи сторонньому

author avatar
https://itc.ua/wp-content/uploads/2023/11/photo_2023-11-12_18-48-05-3-96x96.jpg *** https://itc.ua/wp-content/uploads/2023/11/photo_2023-11-12_18-48-05-3-96x96.jpg *** https://itc.ua/wp-content/uploads/2023/11/photo_2023-11-12_18-48-05-3-96x96.jpg

Андрій Русанов

Автор сайту

Google презентував програму заохочення пошуку уразливостей у власному програмному забезпеченні з відкритим вихідним кодом. Винагорода від $101 до $31337 виплачуватиметься за інформацію про помилки в таких проєктах, як Angular, GoLang та Fuchsia, або про вразливості у сторонніх ресурсах, код яких бере участь у таких проєктах.

Програмісти часто використовують код із проєктів з відкритим вихідним кодом, щоб уникнути необхідності винаходити велосипед у кожному типовому випадку. Але оскільки розробники часто безпосередньо імпортують цей код та його оновлення, вразливості переходять у створюване з його допомогою ПЗ.

В останні кілька років використання таких вразливостей неодноразово загрожувало великим компаніям. У Google самотужки перевіряють відкрите програмне забезпечення, але неможливо встежити за всім його «зоопарком» обмеженими силами.

Поиск уязвимостей

Розмір виплат залежатиме від ступеня небезпеки помилки, а також важливості проєкту, в якому її було виявлено (Fuchsia та інші подібні проєкти вважаються флагманськими, за роботу над ними очікується найбільша винагорода).

Дослідники повинні будуть проінформувати щодо знайденої вразливості розробників стороннього проєкту, та лише після цього звернутися до Google. Вони повинні будуть довести, що проблема зачіпає проєкт Google – якщо в частині бібліотеки, котру компанія не використовує, є помилка, вона не буде допущена до участі у програмі.

Також Google не платитиме за помилки, знайдені в причетних до розробки сторонніх сервісах, код яких не запозичується. Наприклад, якщо проблему виявлено у налаштуваннях або системі входу GitHub, до програми заохочення вона не має відношення.

Онлайн-курс Бізнес-аналіз. Basic Level від Ithillel.
В ході курсу студенти навчаться техніці збору і аналізу вимог, документуванню та управлінню документацією, управлінню ризиками та змінами, а також навчаться моделювати процеси і прототипуванню.
Приєднатися

Програма заохочення пошуку вразливостей у власних продуктах Google існує понад 10 років, тепер можна отримати нагороду і за стороннє ПЗ. Google намагається залучити до пошуку та ліквідації уразливостей усі можливі ресурси – нещодавно компанія заявила, що уряд США має активніше брати участь у розвитку ПЗ з відкритим вихідним кодом та дотриманні його безпеки.

Також Google виплачує гранти українським стартапам:

Фонд Google відібрав ще 16 українських стартапів, які отримають гранти (до $100 тис.) — загалом таких вже 33

Джерело: The Verge

Триває конкурс авторів ІТС. Напиши статтю про розвиток ігор, геймінг та ігрові девайси та вигравай професійне ігрове кермо Logitech G923 Racing Wheel, або одну з низькопрофільних ігрових клавіатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: