谷歌推出专门针对开源软件的漏洞赏金计划
我要评论
谷歌宣布推出一项新的谷歌漏洞赏金计划,专门针对开源软件。推出根据介绍,专门针对该开源软件漏洞赏金计划 (OSS VRP) 侧重于 Google 软件和存储库设置(如 GitHub 操作、开源应用程序配置和访问控制规则),软件适用于 Google 拥有的漏洞赏 GitHub 组织的公共存储库以及其他平台的一些存储库中可用的软件。
“这项新计划的金计增加是为了应对日益普遍的供应链攻击的现实。去年,谷歌针对开源供应链的推出攻击同比增长 650%,包括 Codecov 和 Log4j 漏洞等头条新闻,专门针对显示了单个开源漏洞的开源破坏性潜力。Google 的软件 OSS VRP 是我们以 10B 美元改善网络安全承诺的一部分,云服务器提供商包括保护供应链免受 Google 用户和全球开源消费者的漏洞赏此类攻击。”
通过该计划,金计谷歌将向相关漏洞披露研究人员提供 100 美元到 31,谷歌337 美元的奖金不等,具体取决于所发现的漏洞的严重程度。对于特别有意思的漏洞,谷歌方面称其还可能会小幅增加大约 1,000 美元的奖金。
Google OSS 第三方依赖项中的安全漏洞也在此赏金计划范围内,但条件是需要先将错误报告发送给易受攻击的包的所有者;因此在将发现结果通知 Google 之前,这些问题会在上游得到解决。
通过 3rd-party 依赖项详细说明漏洞的提交应该:
证明漏洞在我们的项目中表现出来(即你必须证明第三方漏洞可以在 Google OSS 中被触发或利用)。不早于上游修复问题后的 30 天后共享(例如发布补丁软件包)。
谷歌方面透露,站群服务器最高奖项将颁发给在最敏感项目中发现的漏洞:Bazel、Angular、Golang、Protocol buffers 和 Fuchsia。而在初始推出后,该公司还计划将扩展此列表。谷歌鼓励关注可能导致供应链受损的漏洞、导致产品漏洞的设计问题以及凭据泄露、弱密码或不安全安装等安全问题。
针对那些对金钱不感兴趣的人,谷歌则将提供以其名义将奖金捐赠给知名慈善机构的选项。“如果你这样做,我们将根据我们的判断将你的捐款翻倍。12 个月后仍未领取的任何奖励将捐赠给我们选择的慈善机构。”
相关文章
电脑显示wifi密码错误的原因分析(探究wifi密码错误的可能原因及解决办法)
摘要:在使用电脑连接wifi网络时,有时会出现输入正确的密码却显示密码错误的情况,这让人十分困惑。本文将从多个角度分析可能的原因,并给出解决办法,帮助读者更好地理解和解决电脑显示wifi...2025-11-05远程共享文件方案中常见错误及解决方法(为什么远程共享文件时会发生错误,如何解决?)
摘要:随着远程办公的兴起,越来越多的人开始使用电脑远程共享文件来进行工作。然而,在实际使用中,我们常常会遇到各种各样的错误。本文将针对以电脑远程共享文件方案错误为主题,介绍一些常见错误及...2025-11-05打开终端输入复制代码代码如下:pointer = 1 2 3 4 5 6 7 8 9 10 11 12保存注销即可
打开终端输入复制代码代码如下:pointer = 1 2 3 4 5 6 7 8 9 10 11 12保存注销即可2025-11-05
通过将服务器配置成VNC SERVER,可以让其他主机使用图形方式登录这台服务器。 复制代码代码如下:$ sudo apt-get install vnc4-common vnc4server 复制代2025-11-05- 摘要:随着科技的快速发展,智能控制技术逐渐成为推动社会进步的重要力量。作为一家专注于智能控制领域的企业,康达智控凭借着卓越的科技实力和创新思维,在行业内赢得了广泛赞誉。本文将以康达智控为...2025-11-05
- 第一步:假如你没更改过默认的 runlevel,则安装好后是 runlevel 2,我们先查看以下吧: # cat /etc/inittab | grep initdefault id:2:initd2025-11-05
最新评论