Google ha lanciato il nuovo programma di ricompense dei bug, Open Source Software Vulnerability Rewards (OSS VRP), applicando un’espansione nell’ambito del programma Vulnerability Reward Programs (VRP) attraverso cui i ricercatori vengono premiati con ricompense in denaro e riconoscimenti pubblici per aver trovato bug.
Adesso le ricompense riguarderanno le scoperte di vulnerabilità nei progetti open source di Google. La società pagherà fino a $ 31.337 a seconda della gravità della vulnerabilità e dell’importanza del progetto. Il premio più basso sarà di $ 100.
“Con l’aggiunta dell’OSS VRP di Google alla nostra famiglia di Vulnerability Reward Programs (VRP) , i ricercatori possono ora essere premiati per aver trovato bug che potrebbero potenzialmente avere un impatto sull’intero ecosistema open source”, si legge nell’annuncio pubblicato dalla società.
Il programma si concentra su tutte le versioni aggiornate del software open source (incluse le impostazioni del repository) archiviate nei repository pubblici delle organizzazioni GitHub di proprietà di Google (ad es. Google, GoogleAPIs, GoogleCloudPlatform, ecc.) e le dipendenze di terze parti di tali progetti (con notifica preventiva alla dipendenza interessata richiesta prima dell’invio all’OSS VRP di Google).
I migliori premi andranno alle vulnerabilità riscontrate nei progetti più sensibili: Bazel, Angular, Golang, Protocol buffers e Fuchsia. Dopo il lancio iniziale, il gigante IT prevede di espandere questo elenco.
Il programma VRP originale, istituito dodici anni fa per compensare e ringraziare coloro che contribuiscono a rendere più sicuro il codice di Google, è stato uno dei primi al mondo. Nel tempo, il programma si è ampliato includendo programmi incentrati su Chrome, Android e altre aree. Complessivamente, questi programmi hanno premiato più di 13.000 richieste, per un totale di oltre $ 38 milioni pagati.
“L’aggiunta di questo nuovo programma affronta la realtà sempre più diffusa dei crescenti compromessi nella catena di approvvigionamento. L’anno scorso è stato registrato un aumento del 650% anno su anno degli attacchi rivolti alla catena di approvvigionamento open source, inclusi incidenti principali come Codecov e la vulnerabilità Log4j che hanno mostrato il potenziale distruttivo di una singola vulnerabilità open source. L’OSS VRP di Google fa parte del nostro impegno da 10 miliardi di dollari per migliorare la sicurezza informatica, inclusa la protezione della catena di approvvigionamento da questi tipi di attacchi sia per gli utenti di Google che per i consumatori open source di tutto il mondo”.
L’OSS VRP di Google incoraggia i ricercatori a segnalare le vulnerabilità con il maggiore impatto reale e potenziale sul software open source nel portafoglio di Google e che portano a compromissione della catena di approvvigionamento, problemi di progettazione e altri problemi di sicurezza come credenziali sensibili o trapelate, password deboli o installazioni non sicure.
https://securityaffairs.co/wordpress/135059/security/google-bug-bounty-open-source.html
https://www.punto-informatico.it/google-ricompensa-chi-trova-falle-nei-progetti-open-source/
