Google платит до $30 000 за поиск уязвимостей в открытом коде

Google ввел новую программу вознаграждений за найденные уязвимые места. Компания будет платить исследователям, находящим недостатки безопасности в ее программном обеспечении с открытым кодом. Специалисты получат от $101 до $31 337. Как пишет The Verge, речь идет о проектах Angular, GoLang и Fuchsia, или по уязвимости во сторонних зависимостях, которые включены в кодовые базы этих проектов.

• Согласно правилам Google, выплаты по Программе вознаграждения за уязвимость ПО с открытым кодом будут зависеть от серьезности ошибки, а также важности проекта, в котором она обнаружена (Fuchsia и подобные считаются «флагманскими» проектами, поэтому имеют наибольшие выплаты).
• Существуют также некоторые дополнительные правила по бонусам за уязвимые места в цепи поставок — исследователи должны будут сообщить тому, кто действительно отвечает за сторонний проект, прежде чем сообщать Google. Они также должны доказать, что проблема влияет на проект Google; если есть ошибка в части библиотеки, которую компания не использует, она не будет иметь права на участие в программе.
• Для исследователей, не мотивированных деньгами, Google предлагает пожертвовать свои вознаграждения благотворительной организации, избранной исследователем, — компания даже говорит, что удвоит эти пожертвования.
• Хотя для Google важно исправлять ошибки в собственных проектах, возможно, наиболее интересной частью является зависимость от сторонних разработчиков. Программисты часто используют код из проектов с открытым кодом, чтобы им не изобретать велосипед снова и снова. Но поскольку разработчики часто импортируют этот код, а также любые его обновления, это создает возможность атак на цепь поставок. Именно тогда хакеры не нацеливаются на код, который непосредственно контролирует сам Google, а преследуют эти сторонние зависимости.

Согласно правилам Google, выплаты будут зависеть от серьезности ошибки, а также важности проекта, в котором она обнаружена. Например, Fuchsia и подобные считаются «флагманскими» проектами, поэтому имеют самые большие выплаты. Существуют также некоторые дополнительные правила по бонусам за информацию об уязвимости в цепи поставок — исследователи должны сообщить тому, кто действительно отвечает за сторонний проект, прежде чем сообщать Google. Они также должны доказать, что проблема влияет на проект Google. Если есть ошибка в части библиотеки, которую компания не использует, она не будет иметь права на участие в программе.

Почему это важно

Очевидно, что Google не в первый раз решает вознаграждать за поиск ошибок. Компания уже более десяти лет имеет определенную форму вознаграждения за найденные уязвимые места. Ранее в этом году, после обнаружения эксплойта Log4Shell в популярной библиотеке с открытым кодом Log4j, Google заявила, что правительство США должно быть больше вовлечено в поиск и решение проблем безопасности в критически важных проектах с открытым кодом. С тех пор компания временно увеличила выплаты людям, нашедшим ошибки в определенных проектах, таких как Kubernetes и Linux.