Google startet Open Source Software Vulnerability Rewards Program
Mit dem Open Source Software Vulnerability Rewards Program (OSS VRP) hat Google sein Bug-Bounty-Programm auf Sicherheitslücken in den Open-Source-Projekten mit eigener Beteiligung erweitert.
Als Verwalter wichtiger Projekte wie Golang, Angular und Fuchsia zähle Google zu den größten Mitwirkenden und Nutzern von Open Source weltweit, schreibt Francis Perron, Open Source Security Technical Program Manager von Google in einem Blogbeitrag.
Mit der Aufnahme von Googles OSS VRP in das Vulnerability Reward Programs (VRP) könne man nun das Auffinden von Fehlern belohnen, die sich möglicherweise auf das gesamte Open-Source-Ökosystem auswirken können, so der Manager weiter.
Das ursprüngliche VRP-Programm nähere sich seinem 12-jährigen Jubiläum. Im Laufe der Zeit habe man die VRP-Reihe neben eigener Software um Programme für Chrome, Android und andere Bereiche erweitert. Insgesamt seien im Rahmen dieser Programme mehr als 13.000 Einreichungen mit einer Gesamtsumme von über 38 Millionen Dollar belohnt worden, heißt es im Blogbeitrag.
Das Programm bezieht sich laut Google auf alle aktuellen Versionen von Open-Source-Software, die in den öffentlichen GitHub-Repositories von Google gespeichert seien, dazu zählten etwa die Verzeichnisse Google, GoogleAPIs und GoogleCloudPlatform.
Die höchsten Belohnungen sollen zunächst für Sicherheitslücken vergeben werden, die in den sensibelsten Projekten gefunden werden, teilt Google mit. Dazu zähle man Bazel, Angular, Golang, Protokollpuffer und Fuchsia. Diese Liste solle dann erweitert werden. Im Blogbeitrag sind die Teilnahmebedingungen erläutert.
Der Beitrag Google startet Open Source Software Vulnerability Rewards Program erschien zuerst auf Linux-Magazin.