Google lanzó su Programa de Recompensa de Vulnerabilidades (VRP) en 2010. Como su nombre indica, anima a los investigadores y expertos en ciberseguridad a detectar problemas de seguridad y exploits, y a informar de ellos de forma privada al proveedor. Tras la notificación, estos fallos serían corregidos por la empresa y la persona que identificara el problema recibiría una recompensa económica. En los últimos años, Google ha trabajado en la unificación de la plataforma y en su ampliación para cubrir más plataformas. Hoy, la compañía ha anunciado otra expansión, esta vez en el espacio del software de código abierto (OSS).
Google ha destacado que es uno de los mayores contribuyentes y mantenedores de OSS con proyectos como Golang, Angular y Fuchsia bajo su ala, por lo que entiende la necesidad de asegurar este dominio. Por ello, su programa OSS VRP está diseñado para fomentar un esfuerzo dedicado también en este frente.
El programa OSS VRP se centra en cualquier código OSS que esté bajo la cartera de Google. Esto no sólo incluye los proyectos que mantiene, sino también cualquier dependencia de OSS mantenida por otros proveedores. Las dos categorías de OSS cubiertas por este VRP se definen a continuación:
Todas las versiones actualizadas de software de código abierto (incluida la configuración del repositorio) almacenadas en los repositorios públicos de las organizaciones de GitHub, propiedad de Google.
Las dependencias de terceros de esos proyectos (con notificación previa a la dependencia afectada antes de la presentación al VRP de OSS de Google)
Los tipos de envíos que Google está aceptando en este momento incluyen el compromiso de la cadena de suministro, los defectos de diseño y los problemas generales de seguridad como credenciales débiles o filtradas, o implementaciones inseguras. Las recompensas comienzan en 100 dólares pero llegan hasta 31.337 dólares, y el umbral superior se dirige a proyectos más sensibles como Bazel, Angular, Golang, Protocol buffers y Fuchsia.
Google espera que este esfuerzo de colaboración impulsado por la comunidad ayude a mejorar la seguridad del OSS. La iniciativa forma parte de la inversión de 10.000 millones de dólares en ciberseguridad que Google anunció hace un año tras reunirse con el presidente de Estados Unidos, Joe Biden. Ya en abril, Google se comprometió a apoyar el proyecto de análisis de paquetes de la Open Source Security Foundation (OpenSSF) para detectar también paquetes de código abierto maliciosos.
Para los detalles y términos del programa puede consultar los requisitos aquí.
Fuente WEB | Editado por CambioDigital OnLine