最高超过20万,谷歌发布开源漏洞奖励计划
source link: https://www.51cto.com/article/717760.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
最高超过20万,谷歌发布开源漏洞奖励计划
随着供应链攻击威胁与日俱增,全球巨头纷纷出台各种措施,以降低供应链攻击带来的威胁。2022年5月,谷歌就成立乐一个新的“开源维护团队”,专注于加强关键开源项目的安全性。
8月29日,谷歌再次出台新的举措,推出了开源软件漏洞奖励计划 (OSS VRP),是首批特定于开源的漏洞计划之一。奖励金额从100 美元到 31337 美元(约合人民币21万+)不等,以保护生态系统免受供应链攻击。
众所周知,谷歌是Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia 等项目的主要维护者,推出OSS VRP旨在奖励那些可能对更大的开源领域产生重大影响的漏洞发现。由 Google 管理并托管在 GitHub 等公共存储库上的其他项目,以及这些项目中包含的第三方依赖项也符合条件。
白帽黑客提交的漏洞需满足以下要求:
- 导致供应链受损的漏洞;
- 导致产品漏洞的设计问题;
- 其他安全问题,例如敏感或泄露的凭据、弱密码或不安全的安装。
随着针对 Maven、NPM、PyPI 和 RubyGems 的供应链攻击不断升级,加强开源组件,特别是作为许多软件构建块的第三方库,已成为当务之急。
供应链攻击(图片来源:Sonatype)
2021年12月爆发的 Log4j Java 日志库中的Log4Shell漏洞就是一个典型例子,它造成了相当广泛的破坏,并成为改善软件供应链状态的号角。
谷歌Francis Perron 和 Krzysztof Kotowicz 表示:“去年,针对开源供应链的攻击同比增长了650%,包括Codecov和 Log4j 漏洞等在内,这些事件显示了单个开源漏洞的破坏性潜力”。
开源软件漏洞奖励计划是继谷歌2021年11月推出的Linux内核特权升级和Kubernetes逃逸漏洞奖励计划,而制定的又一重要漏洞奖励机制。
参考来源:https://thehackernews.com/2022/08/google-launches-new-open-source-bug.html
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK