Google ha anunciado un nuevo programa diseñado para recompensar a los investigadores que encuentren fallos en sus proyectos de código abierto.
El Programa de Recompensas por Vulnerabilidad en el Software de Código Abierto (OSS VRP) incentivará a los piratas informáticos éticos para hacer más seguro el código de código abierto en los principales proyectos que mantiene Google, como Golang, Bazel, Angular, Fuchsia y Protocol buffers.
El OSS VRP se centrará específicamente en todas las versiones actualizadas del software de código abierto y en la configuración de los repositorios almacenados en los repositorios públicos de las organizaciones GitHub propiedad de Google, así como en las dependencias de estos proyectos.
Google indicó que acepta presentaciones de:
-Vulnerabilidades que conduzcan a un compromiso de la cadena de suministro.
-Problemas de diseño que provoquen vulnerabilidades en los productos.
-Otros problemas como credenciales sensibles o filtradas, contraseñas débiles o instalaciones inseguras.
“Dependiendo de la gravedad de la vulnerabilidad y de la importancia del proyecto, las recompensas oscilarán entre los 100 y los 31.337 dólares”, dijo el gigante tecnológico. “Las cantidades más grandes también se destinarán a vulnerabilidades inusuales o particularmente interesantes, por lo que se fomenta la creatividad”.
El VRP de OSS se situará junto a los VRP de Google en Chrome, Android y otras partes de la empresa. Desde que se lanzó el primero hace unos 12 años, estos programas han recompensado más de 13.000 envíos y han pagado más de 38 millones de dólares en el proceso.
Las vulnerabilidades de código abierto son una gran noticia tras el exploit Log4Shell y las consiguientes consecuencias. Muchos equipos de DevOps utilizan ahora componentes de código abierto de terceros para acelerar el tiempo de comercialización de sus ofertas, pero los repositorios suelen contener errores.