شکار باگ : گوگل برنامه جدیدی را اعلام کرد که بهطور خاص روی نرمافزار متنباز تمرکز دارد. شرکتکنندگان در این برنامه، بسته به مقدار آسیبپذیری که توسط آنها کشف میشود، میتوانند از 100 دلار تا 31 هزار دلار درآمد داشته باشند.شکار باگ
برنامه جدید گوگل با یک مشکل بزرگ در جامعه نرمافزاری مقابله میکند:
افزایش خطرات زنجیره تامین گوگل با استناد به گزارشی از شرکت نرمافزاری Sonatype اشاره میکند. حملاتی که زنجیره تامین منبع باز را هدف قرار میدهند، در سال 2021 نسبت به سال گذشته 650 درصد رشد داشتهاند.
حتی آسیبپذیریهای منفرد، مانند Log4Shell که در دسامبر سال گذشته کشف شده بود نیز میتواند خرابی گستردهای ایجاد کند.
کشف آسیبپذیری پروژههای گوگل
گوگل در برنامه جدید خود، شکارچیان باگ را تشویق میکند . در نسخههای بهروز شده نرمافزارهای منبع باز ذخیره شده متعلق به گوگل در گیتهاب (GitHub) مانند Google و GoogleAPIs به دنبال مشکل بگردند.
همچنین بر وابستگیهای شخص ثالث این پروژهها نیز تمرکز دارد.
شکار باگ
جوایز برتر این برنامه به آسیبپذیریهایی تعلق میگیرد که در حساسترین پروژههای گوگل مانند Bazel و Angular پیدا شده باشند.
علاوه بر این، غول موتور جستجو شکارچیان باگ را تشویق میکند تا به دنبال مشکلاتی باشند که میتواند بیشترین تاثیر را بر زنجیره تامین داشته باشد.
مثل مشکلات مربوط به طراحی که باعث آسیبپذیری محصول یا مشکلاتی امنیتی مانند لو رفتن اعتبارنامهها شود.
بسته به شدت آسیبپذیری و اهمیت پروژه، جوایز از 100 تا 31337 دلار متغیر هستند.
مقادیر بیشتر به آسیبپذیریهای غیرعادی یا جالب توجه تعلق میگیرد، بنابراین شما را به استفاده از خلاقیت تشویق میکنیم
برنامه باگ باونتی جدید گوگل که از آن به عنوان OSS VRP یاد شده، بخشی از یک برنامه 10 میلیارد دلاری است .
که گوگل متعهد شده برای رشد امنیت سایبری ایالات متحده هزینه میکند.
گوگل سال گذشته در کاخ سفید این تعهد را اعلام کرد، جایی که دولت بایدن تاکید داشت که آسیبپذیریهای بالقوه در نرمافزار منبع باز یک نگرانی امنیت ملی محسوب میشود.
