ГлавнаяНовости ITGoogle запустив нову програму винагород за пошук вразливостей: є кілька правил

Google запустив нову програму винагород за пошук вразливостей: є кілька правил

Google запровадив нову програму винагород за пошук вразливостей у програмному забезпеченні. Компанія обіцяє заплатити від $101 до понад $31 тисячі за інформацію про помилки у проєктах Angular, GoLang і Fuchsia або за вразливості у сторонніх залежностях, які включені в кодові бази цих проєктів. Тим дослідникам, яких не мотивують гроші, Google пропонує перевести нагороду на благодійність. В такому випадку суму подвоять.

Згідно з правилами Google, виплати за Open Source Software Vulnerability Rewards Program (OSS VRP) залежатимуть від серйозності помилки, а також важливості проєкту, в якому її виявлено. Найвищі нагороди отримають дослідники, які виявили вразливості в найбільш чутливих проєктах: Bazel, Angular, Golang, Protocol buffers і Fuchsia. Згодом список планують розширити.

Існують також додаткові правила щодо бонусів за вразливі місця в ланцюзі поставок. Дослідники повинні будуть сповістити того, хто насправді відповідає за сторонній проєкт, перш ніж повідомляти Google. Вони також повинні довести, що проблема впливає на проєкт Google. Якщо є помилка в частині бібліотеки, яку компанія не використовує, вона не матиме права на участь у програмі.

Залежно від серйозності вразливості та важливості проєкту, винагорода становитиме від $101 до $31337. Більші суми обіцяють виплатити за незвичайні або особливо цікаві вразливості, тому креативність заохочується.

Дослідникам радять зосередитися на пошуку проблем з дизайном, що спричиняють вразливість продукту, витоках облікових даних, слабких паролях тощо.

The Verge пише, що найцікавішим у цій програмі є акцент на сторонніх залежностях. Програмісти часто використовують код із проєктів з відкритим кодом, щоб не доводилося знову вигадувати те, що вже давно вигадали. Але розробники часто безпосередньо імпортують цей код, а також будь-які його оновлення, це створює можливість атак на ланцюг поставок. Саме тоді хакери націлюються не на код, який безпосередньо контролює Google, а натомість переслідують сторонні залежності.

У 2021-му кількість атак, націлених на ланцюжок поставок з відкритим кодом, зросла на 650% у порівнянні з минулим роком, кажуть у Google. Йдеться, зокрема, про такі інциденти як Codecov і вразливість Log4j, які показали руйнівний потенціал однієї вразливості з відкритим кодом.

Похожие статьи:
Мати власну IT-компанію і піти в розробники. Віктор Турський — про роботу в Google, відмінності між джуном і сеньйором і “класність” аутсорсерів
У межах YouTube-рубрики «Що потім?» DOU продовжує спілкуватися з топфахівцями українського IT про те, куди кар’єрно рухатися спеціалістам...
«Я звільнився і пішов практично в нікуди». Історія айтівця, який під час війни став пекарем
Юрій Бойко — айтівець і пекар, який нині служить у лавах ЗСУ. Свого часу він вчився у КПІ, працював в IT-компанії, але відчував,...
Sigma Software продала частку харківської IT-компанії IdeaSoft організації з ОАЕ
Sigma Software продала свою частку в харківській IT-компанії IdeaSoft, що працює в сфері блокчейну і фінтеху. Новим власником стала...
Роль эмоционального интеллекта в модели компетенций менеджера
[Дмитрий Зиновьев — Software Engineering Manager в EPAM, 11 лет в IT] Работа менеджера трудна, опасна и вредна, за что им положен...
Про економічний стан українського ІT, бульбашку навколо ШІ та податки для Дія Сіті — розмова з CFO Ciklum Андрієм Оксенюком
Що буде з українською економікою і як на нас впливає глобальний tech-ринок? Як IT-компанії реагують на нову...
Яндекс.Метрика