Google extiende su programa Bug Bounty a proyectos de código abierto

Published:

Google cubre sus proyectos de código abierto bajo su Programa de Recompensas por Vulnerabilidad (VRP). La empresa pagará a los investigadores de seguridad para encontrar errores y vulnerabilidades en todo su ecosistema de software de código abierto (Google OSS). Esto incluye software almacenado en repositorios públicos de organizaciones de GitHub propiedad de Google, así como repositorios alojados en otras plataformas. Las vulnerabilidades en los ajustes de configuración del repositorio también están cubiertas por este programa de recompensas por errores.

Además, VRP cubre fallas de seguridad en dependencias de terceros en Google OSS. La empresa dice que la seguridad de sus dependencias es una parte fundamental de la seguridad de un paquete de software. Por lo tanto, solo es apropiado cubrirlos también. Pero los investigadores de seguridad primero deben informar las vulnerabilidades al proveedor de dependencia de terceros y proporcionar una solución antes de llevar el asunto a Google para obtener una recompensa. Debe enviar los detalles del problema a Google dentro de los 30 días posteriores a la publicación de una resolución por parte del proveedor externo. También debe poder demostrar que la vulnerabilidad de terceros se puede explotar en Google OSS.

En una publicación detallada en su sitio web Bug Hunters, Google afirma que descubrir vulnerabilidades en servicios o plataformas de terceros utilizados para mantener y construir Google OSS ahora lo hará elegible para recompensas bajo VRP. «No podemos autorizarlo a realizar investigaciones de seguridad en su nombre sobre los activos que pertenecen a otros usuarios y empresas», dijo el fabricante de Android.

En cuanto a las vulnerabilidades calificadas, Google pagará a los investigadores por encontrar problemas como compromisos en la cadena de suministro, vulnerabilidades de productos y otros errores de seguridad en su software de código abierto. Según Android Police, que informó por primera vez sobre esta expansión del VRP de Google, las cadenas de suministro de código abierto se han convertido en un objetivo principal para que los piratas informáticos las utilicen como proveedores de ataques. Dichos ataques experimentaron un aumento anual del 650 por ciento para 2021. La cobertura de proyectos de código abierto bajo VRP podría contribuir en gran medida a garantizar la seguridad del software de Google.

Encontrar un error en el software de código abierto de Google puede generar grandes recompensas

Como de costumbre, Google tiene múltiples niveles de recompensa con diferentes pagos. Las vulnerabilidades descubiertas en proyectos emblemáticos de OSS, incluidos Basel, Angular, Golan, Protocolbuffers y Fuchsia, pueden generarle recompensas de más de $31,000. El monto de la adjudicación asciende a $13,337 para proyectos de OSS estándar, mientras que la empresa no especifica el monto para proyectos de OSS de baja prioridad. El monto de la recompensa también depende del tipo de vulnerabilidad. El compromiso de la cadena de suministro vale más que las vulnerabilidades del producto y otras vulnerabilidades de seguridad.

Si es un investigador de seguridad, puede visitar el sitio web Bug Hunters de Google para obtener más información. Encontrará toda la información técnica sobre las capas del proyecto, calificación de vulnerabilidades, informes de errores y más.

Esto te podría gustar..

Recién publicado