谷歌宣布專門針對開源軟件的新漏洞獎勵計劃：最高可達(dá) 21.65 萬元，涉及 Fuchsia / Golang 等項(xiàng)目

IT之家 8 月 31 日消息，谷歌早在 2010 年就推出了漏洞獎勵計劃 (VRP)。顧名思義，它鼓勵研究人員和網(wǎng)絡(luò)安全專家檢測安全問題和漏洞，然后私下向供應(yīng)商報告。報告后，這些錯誤將由公司修復(fù)，發(fā)現(xiàn)問題的人將獲得金錢獎勵?。在過去的幾年里，谷歌一直致力于統(tǒng)一平臺并將其擴(kuò)展到更多平臺?，F(xiàn)在，谷歌公司宣布了又一次擴(kuò)張，這次是在開源軟件 (OSS) 領(lǐng)域。

谷歌強(qiáng)調(diào)其是 OSS 最大貢獻(xiàn)者和維護(hù)者之一，旗下有 Golang、Angular 和 Fuchsia 等項(xiàng)目，其十分理解保護(hù)這個領(lǐng)域的必要性。因此，其 OSS VRP 計劃也旨在鼓勵在這方面做出專門的努力。

OSS VRP 專注于 Google 產(chǎn)品組合下的任何 OSS 代碼。IT之家獲悉，這不僅包括它維護(hù)的項(xiàng)目，還包括其他供應(yīng)商維護(hù)的任何 OSS 依賴項(xiàng)。本 VRP 涵蓋的兩類 OSS 定義如下：

• 存儲在 Google 擁有的 GitHub 組織的公共存儲庫中的所有最新版本的開源軟件（包括存儲庫設(shè)置）

• 這些項(xiàng)目的第三方依賴項(xiàng)（在提交到 Google 的 OSS VRP 之前需要事先通知受影響的依賴項(xiàng)）

谷歌目前接受的提交類型包括供應(yīng)商漏洞、設(shè)計缺陷和一般安全問題，如弱或泄露的憑據(jù)，或不安全的部署。獎勵起始價 100 美元（約 691 元人民幣），最高可達(dá) 31337 美元（約 21.65 萬元人民幣），上限針對更敏感的項(xiàng)目，如 Bazel、Angular、Golang、Protocol buffers 和 Fuchsia。

谷歌希望這種由社區(qū)驅(qū)動的協(xié)作努力將有助于提高 OSS 安全性。該計劃是谷歌一年前與美國總統(tǒng)會面后宣布的 100 億美元網(wǎng)絡(luò)安全投資的一部分。早在今年 4 月，谷歌就承諾支持開源安全基金會 (OpenSSF) 的包分析項(xiàng)目，以檢測惡意開源包。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。