Google presentó hoy un nuevo programa de recompensas por vulnerabilidades para recompensar a los investigadores de seguridad que descubren y reportan vulnerabilidades en los proyectos de código abierto de la compañía.
Como parte del nuevo Programa de recompensas por vulnerabilidad de software de código abierto (OSS VRP), Google ofrece pagos de recompensas de hasta $ 31,337. La recompensa de vulnerabilidad más baja será de $100.
Se pueden otorgar pequeños aumentos de bonificación, de aproximadamente $ 1,000, por “vulnerabilidades particularmente inteligentes o interesantes”.
Google ha estado ejecutando su VRP durante casi 12 años y lo ha ampliado con el tiempo para cubrir Android, Chrome, kernel de Linux y otras áreas. Hasta la fecha, la compañía ha pagado más de $38 millones en recompensas por vulnerabiliades a los investigadores que informaron.
Centrado en el software de código abierto, el nuevo programa está destinado a abordar los riesgos asociados con el compromiso de la cadena de suministro.
“El año pasado se produjo un aumento interanual del 650 % en los ataques dirigidos a la cadena de suministro de código abierto, incluidos incidentes destacados como Codecov y Log4Shell que mostraron el potencial destructivo de una sola vulnerabilidad de código abierto”, señala Google .
El gigante de Internet considera que todo el software actualizado disponible en los repositorios públicos de las organizaciones de GitHub propiedad de Google está dentro del alcance del OSS VRP. También se incluyen las dependencias de terceros de estos proyectos, pero los investigadores deberán enviar una notificación previa a la dependencia.
“Envíe sus informes de vulnerabilidades directamente al propietario de dicho paquete y asegúrese de que el problema se solucione antes de informarnos los detalles del problema”, explica la compañía en la página de OSS VRP .
Los proyectos dentro del alcance se agrupan en tres niveles, y las recompensas por las vulnerabilidades en los proyectos insignia de OSS, que se consideran particularmente sensibles, son significativamente más altas. Los pagos más altos se ofrecerán por vulnerabilidades en Bazel, Angular, Golang, Protocol buffers y Fuchsia.
El gigante de Internet alienta a los investigadores a centrarse en las vulnerabilidades que comprometen la cadena de suministro, en los problemas de diseño que conducen a vulnerabilidades en los productos y en los problemas de seguridad, como fugas de credenciales, contraseñas débiles e instalaciones inseguras.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.