En una publicación de su blog, Google lanzó una iniciativa de recompensas por vulnerabilidades en el software de código abierto (OSS VRP). Google mantiene importantes proyectos de código abierto como Golang, Angular y Fuchsia. Ahora los investigadores podrían ser recompensados por descubrir fallos que podrían perjudicar a todo el ecosistema de código abierto.
Desde 2003, Google ha apoyado a los investigadores de seguridad y a los cazadores de bugs. El programa VRP original, establecido para recompensar y agradecer a los empleados que ayudan a salvaguardar el código de Google, está a punto de cumplir 12 años. Con el tiempo, se han añadido Chrome, Android y otros VRP. Estas iniciativas han repartido 38 millones de dólares por 13.000 aportes.
Este programa se concentra por ahora en la escalada de compromisos en la cadena de suministro. El año pasado se produjo un aumento del 650% con respecto al año anterior en los ataques dirigidos a la cadena de suministro de código abierto, incluyendo Codecov y la vulnerabilidad Log4j. En diciembre pasado, Google dijo que solucionar la vulnerabilidad Log4j podría tomar años. El programa OSS VRP de Google forma parte de un presupuesto de 10.000 millones de dólares destinados por la empresa a mejorar la ciberseguridad, incluyendo la seguridad de la cadena de suministro para los usuarios de Google y los consumidores de código abierto en todo el mundo.
El OSS VRP de Google anima a los investigadores a enviar vulnerabilidades de software de código abierto. Lo más destacado del programa:
– Todo el software de código abierto actualizado (incluida la configuración del repositorio) en los repositorios GitHub propiedad de Google (por ejemplo, Google, GoogleAPIs, GoogleCloudPlatform, etc).
– Dependencias de terceros (es necesario avisar a las partes pertinentes antes de presentar el VRP de OSS de Google).
Los premios más importantes serán para las vulnerabilidades de Bazel, Angular, Golang, búferes de protocolo y Fuchsia. Google indica que la lista será ampliada después del lanzamiento inicial.
Google busca principalmente vulnerabilidades de la cadena de suministro, vulnerabilidades en el diseño de los productos y otras vulnerabilidades de seguridad habilitadas por filtración de credenciales, contraseñas débiles y las instalaciones no seguras.
Dependiendo de la importancia y la gravedad del proyecto, los premios oscilan entre 100 y 31.337 dólares. Esto último es una referencia a la escritura leet. Las cantidades mayores se destinarán a vulnerabilidades inusuales o interesantes, lo que fomenta la creatividad.
“Consulte las directrices del programa para conocer los proyectos y las vulnerabilidades fuera de alcance, y luego empiece a hackear y cuéntenos lo que descubre. Nos pondremos en contacto con usted para que nos dé una respuesta si su presentación es relevante”, concluye señalando Google en su blog.
