Google презентував програму заохочення пошуку уразливостей у власному програмному забезпеченні з відкритим вихідним кодом. Винагорода від $101 до $31337 виплачуватиметься за інформацію про помилки в таких проєктах, як Angular, GoLang та Fuchsia, або про вразливості у сторонніх ресурсах, код яких бере участь у таких проєктах.
Програмісти часто використовують код із проєктів з відкритим вихідним кодом, щоб уникнути необхідності винаходити велосипед у кожному типовому випадку. Але оскільки розробники часто безпосередньо імпортують цей код та його оновлення, вразливості переходять у створюване з його допомогою ПЗ.
В останні кілька років використання таких вразливостей неодноразово загрожувало великим компаніям. У Google самотужки перевіряють відкрите програмне забезпечення, але неможливо встежити за всім його «зоопарком» обмеженими силами.
Розмір виплат залежатиме від ступеня небезпеки помилки, а також важливості проєкту, в якому її було виявлено (Fuchsia та інші подібні проєкти вважаються флагманськими, за роботу над ними очікується найбільша винагорода).
Дослідники повинні будуть проінформувати щодо знайденої вразливості розробників стороннього проєкту, та лише після цього звернутися до Google. Вони повинні будуть довести, що проблема зачіпає проєкт Google – якщо в частині бібліотеки, котру компанія не використовує, є помилка, вона не буде допущена до участі у програмі.
Також Google не платитиме за помилки, знайдені в причетних до розробки сторонніх сервісах, код яких не запозичується. Наприклад, якщо проблему виявлено у налаштуваннях або системі входу GitHub, до програми заохочення вона не має відношення.
Програма заохочення пошуку вразливостей у власних продуктах Google існує понад 10 років, тепер можна отримати нагороду і за стороннє ПЗ. Google намагається залучити до пошуку та ліквідації уразливостей усі можливі ресурси – нещодавно компанія заявила, що уряд США має активніше брати участь у розвитку ПЗ з відкритим вихідним кодом та дотриманні його безпеки.
Також Google виплачує гранти українським стартапам:
Джерело: The Verge