谷歌推出专门针对开源软件的漏洞赏金计划

谷歌宣布推出一项新的谷歌漏洞赏金计划，专门针对开源软件
。推出根据介绍，专门针对该开源软件漏洞赏金计划 (OSS VRP) ​侧重于 Google 软件和存储库设置（如 GitHub 操作、开源应用程序配置和访问控制规则），软件适用于 Google 拥有的漏洞赏 GitHub 组织的公共存储库以及其他平台的一些存储库中可用的软件。

“这项新计划的金计增加是源码库为了应对日益普遍的供应链攻击的现实。去年
，谷歌针对开源供应链的推出攻击同比增长 650%，包括 Codecov 和 Log4j 漏洞等头条新闻
，专门针对显示了单个开源漏洞的开源破坏性潜力。Google 的软件 OSS VRP 是我们以 10B 美元改善网络安全承诺的源码下载一部分 ，包括保护供应链免受 Google 用户和全球开源消费者的漏洞赏此类攻击。”

通过该计划，金计谷歌将向相关漏洞披露研究人员提供 100 美元到 31,谷歌337 美元的奖金不等，具体取决于所发现的漏洞的严重程度。对于特别有意思的漏洞
 ，谷歌方面称其还可能会小幅增加大约 1,000 美元的云计算奖金 。

Google OSS 第三方依赖项中的安全漏洞也在此赏金计划范围内 ，但条件是需要先将错误报告发送给易受攻击的包的所有者；因此在将发现结果通知 Google 之前，这些问题会在上游得到解决。

通过 3rd-party 依赖项详细说明漏洞的提交应该：

证明漏洞在我们的项目中表现出来（即你必须证明第三方漏洞可以在 Google OSS 中被触发或利用） 。不早于上游修复问题后的免费模板 30 天后共享（例如发布补丁软件包）。

谷歌方面透露​，最高奖项将颁发给在最敏感项目中发现的漏洞 ：Bazel 、Angular、Golang
、Protocol buffers 和 Fuchsia。而在初始推出后
，该公司还计划将扩展此列表。谷歌鼓励关注可能导致供应链受损的漏洞、导致产品漏洞的建站模板设计问题以及凭据泄露、弱密码或不安全安装等安全问题
。

针对那些对金钱不感兴趣的人，谷歌则将提供以其名义将奖金捐赠给知名慈善机构的选项。“如果你这样做 ，我们将根据我们的判断将你的捐款翻倍。12 个月后仍未领取的任何奖励将捐赠给我们选择的高防服务器慈善机构。”​