谷歌推出专门针对开源软件的漏洞赏金计划
谷歌宣布推出一项新的漏洞赏金计划,专门针对开源软件。根据介绍,该开源软件漏洞赏金计划 (OSS VRP) 侧重于 Google 软件和存储库设置(如 GitHub 操作、应用程序配置和访问控制规则),适用于 Google 拥有的 GitHub 组织的公共存储库以及其他平台的一些存储库中可用的软件。 “这项新计划的增加是为了应对日益普遍的供应链攻击的现实。去年,针对开源供应链的攻击同比增长 650%,包括 Codecov 和 Log4j 漏洞等头条新闻,显示了单个开源漏洞的破坏性潜力。Google 的 OSS VRP 是我们以10B 美元改善网络安全承诺的一部分,包括保护供应链免受 Google 用户和全球开源消费者的此类攻击。” 通过该计划,谷歌将向相关漏洞披露研究人员提供100 美元到 31,337 美元的奖金不等,具体取决于所发现的漏洞的严重程度。对于特别有意思的漏洞,谷歌方面称其还可能会小幅增加大约 1,000 美元的奖金。 Google OSS 第三方依赖项中的安全漏洞也在此赏金计划范围内,但条件是需要先将错误报告发送给易受攻击的包的所有者;因此在将发现结果通知 Google ...
