Google komt met bug bounty-programma voor openbronprojecten
Met het nieuwe bug bounty-programma biedt Google beloningen security-onderzoekers die kwetsbaarheden in opensource-projecten van het bedrijf melden.
Google lanceert het Open Source Software Vulnerability Rewards Program (OSS VRP). Het programma is gericht op alle up-to-date versies van openbronsoftware die onder meer zijn opgeslagen in publieke repositories binnen Github voor Google-projecten. Denk hierbij aan Google, GoogleAPIs en GoogleCloudPlatform. Ook externe software, waarvan Google voor bepaalde componenten afhankelijk is, kunnen gemeld worden. Hier zegt de techgigant wel dat onderzoekers eerst de originele ontwikkelaars moeten inlichten.
Van 100 tot 31.337 dollar
De focus ligt voor OSS VRP op bugs die kunnen leiden tot supplychain-aanvallen, ontwerpfouten die leiden tot kwetsbaarheden en andere beveiligingsproblemen zoals zwakke wachtwoorden, onveilige installaties of het gebruik van zwakke en/of uitgelekte inloggegevens. De beloningen die Google via het OSS VRP biedt variëren van 100 tot 31.337 dollar. De grotere beloningen zijn voornamelijk gericht op kwetsbaarheden in Bazel, Angular, Golang, Protocol buffers en Fuchsia. Google wil deze lijst in de toekomst verder uitbreiden.
In samenwerking met Dutch IT Channel
Fout opgemerkt of meer nieuws? Meld het hier