Google запровадив нову програму винагород за знайдені вразливі місця. Компанія буде платити дослідникам, які знаходять недоліки безпеки в її програмному забезпеченні з відкритим кодом. Спеціалісти отримають від $101 до $31 337. Як пише The Verge, йдеться про проекти Angular, GoLang і Fuchsia, або за вразливості в сторонніх залежностях, які включені в кодові бази цих проектів.

  • Згідно з правилами Google, виплати за Програмою винагороди за вразливість ПЗ з відкритим кодом залежатимуть від серйозності помилки, а також важливості проекту, у якому її виявлено (Fuchsia та подібні вважаються «флагманськими» проектами, тому мають найбільші виплати). 
  • Існують також деякі додаткові правила щодо бонусів за вразливі місця в ланцюзі поставок — дослідники повинні будуть повідомити того, хто насправді відповідає за сторонній проект, перш ніж повідомляти Google. Вони також повинні довести, що проблема впливає на проект Google; якщо є помилка в частині бібліотеки, яку компанія не використовує, вона не матиме права на участь у програмі.
  • Для дослідників, які не мотивовані грошима, Google пропонує пожертвувати свої винагороди благодійній організації, обраній дослідником — компанія навіть каже, що подвоїть ці пожертви.
  • Хоча для Google важливо виправляти помилки у власних проектах, можливо, найцікавішим тут частиною є залежності від сторонніх розробників. Програмісти часто використовують код із проектів з відкритим кодом, щоб їм не винаходити велосипед знову і знову. Але оскільки розробники часто бе імпортують цей код, а також будь-які його оновлення, це створює можливість атак на ланцюг поставок. Саме тоді хакери не націлюються на код, який безпосередньо контролює сам Google, а натомість переслідують ці сторонні залежності.

Згідно з правилами Google, виплати залежатимуть від серйозності помилки, а також важливості проекту, у якому її виявлено. Наприклад, Fuchsia та подібні вважаються «флагманськими» проектами, тому мають найбільші виплати. Існують також деякі додаткові правила щодо бонусів за інформацію про вразливості в ланцюзі поставок — дослідники повинні повідомити того, хто насправді відповідає за сторонній проект, перш ніж повідомляти Google. Вони також повинні довести, що проблема впливає на проект Google. Якщо є помилка в частині бібліотеки, яку компанія не використовує, вона не матиме права на участь у програмі.

Чому це важливо

Очевидно, що Google не вперше вирішує винагороду за помилку. Компанія вже більше десяти років має певну форму винагороди за знайдені вразливі місця. Раніше цього року, після виявлення експлойту Log4Shell у популярній бібліотеці з відкритим кодом Log4j, Google заявив, що уряд США має бути більше залучений до пошуку та вирішення проблем безпеки в критично важливих проектах з відкритим кодом. Відтоді компанія тимчасово збільшила виплати людям, які знайшли помилки в певних проектах, таких як Kubernetes і ​​Linux.