O Google lançou seu Programa de Recompensas de Vulnerabilidade de Software de Código Aberto (OSS VRP), onde os pesquisadores encontrarão bugs e vulnerabilidades no ecossistema de software de código aberto. O Google está oferecendo recompensas de cerca de US$ 31.337 para quem detectar bugs.
O Google empregou uma abordagem de crowdsourcing para segurança com foco especial na mitigação de vulnerabilidades nos projetos de código aberto subfinanciados e submantidos, mas amplamente usados.
Por meio desse programa de recompensas, a empresa visa eliminar pontos de invasão e ajudar as empresas a funcionar com segurança, pois o ecossistema de código aberto precisa de uma revisão de segurança maciça.
Vale a pena notar que um grande número de organizações depende de software de código aberto para realizar operações críticas. No entanto, eles exercem pouco ou nenhum controle sobre esses componentes, tornando a situação arriscada para essas organizações.
Além disso, os ataques à cadeia de fornecimento de software aumentaram ao longo dos anos. Eles estão atualmente em um nível mais alto após as vulnerabilidades de 0 dia Log4j e Log4Shell foram descobertas e violações de dados devastadoras ocorreu, incluindo SolarWinds.
Através do OSS VRP, hackers éticos receberão recompensas que variam de US$ 100 a US$ 31.337, dependendo da gravidade do bug descoberto. As recompensas mais altas serão oferecidas a bugs encontrados em projetos de código aberto sensíveis, como Angular, Bazel, buffers de protocolo, Golang e Fuchsia.
De acordo com a postagem do blog do Google , o evento se concentrará principalmente em versões atualizadas de projetos/softwares de código aberto e configurações de repositório salvas nos repositórios públicos do GitHub. Algumas das vulnerabilidades que o Google espera serem detectadas incluem aquelas que comprometem a cadeia de suprimentos, vulnerabilidades do produto causadas por problemas de design, senhas fracas, credenciais vazadas etc.
“As quantias maiores também irão para vulnerabilidades incomuns ou particularmente interessantes, então a criatividade é incentivada.”
Esses programas restaurarão a confiança de usuários e fornecedores na cadeia de fornecimento de software de código aberto, pois as vulnerabilidades serão identificadas e corrigidas oportunamente. Portanto, se você tem o que é preciso para participar do mais recente programa de recompensas de bugs do Google, desejamos boa sorte!
