В 2010 году компания Google запустила программу выплаты вознаграждения за уязвимости в своём программном обеспечении (VRP). Программа мотивирует исследователей и экспертов по кибербезопасности находить ошибки и эксплоиты на их основе и сообщать о них разработчикам. Затем уязвимости закрываются, а обнаружившие их люди получают денежное вознаграждение. В последние годы Google работала над расширением программы на большее число платформ. Теперь в их число войдёт программное обеспечения с открытым исходным кодом (OSS).
Google является одним из крупнейших разработчиков OSS с такими проектами, как Golang, Angular и Fuchsia, так что лично заинтересована в их качестве. Программа относится и к продуктам других разработчиков, у которых есть зависимости от ПО Google. Вот охватываемые этой программой две категории OSS:
- Все актуальные версии программного обеспечения с открытым исходным кодом (включая настройки репозитория), хранящиеся в общедоступных репозиториях GitHub.
- Сторонние зависимости этих проектов (с предварительным уведомлением разработчиков затронутой зависимости перед отправкой в Google OSS VRP).
Типы заявок, которые Google уже принимает, включают в себя компрометацию цепочки поставок, дефекты дизайна и общие проблемы безопасности, такие как слабые учётные данные, их утечка или небезопасное развёртывание. Вознаграждение минимум $100 долларов, а бывают и суммы в размере $31337 для проектов вроде Bazel, Angular, Golang, Fuchsia.
Google надеется, что совместные усилия сообщества помогут улучшить безопасность открытого ПО. Эта инициатива является частью инвестиций в кибербезопасность в размере $10 млрд, о которых компания говорила год назад после встречи её руководства с президентом США Джо Байденом. В апреле Google пообещала поддержать проект анализа пакетов Open Source Security Foundation (OpenSSF) для обнаружения вредоносных пакетов с открытым исходным кодом, пишет Neowin.
