Google lanceert Open Source Software Vulnerability Rewards Program

Google lanceert het Open Source Software Vulnerability Rewards Program (OSS VRP). Met het nieuwe bug bounty-programma biedt Google beloningen voor kwetsbaarheden in opensource-projecten van het bedrijf die security-onderzoekers melden.

Het programma is gericht op alle up-to-date versies van opensource-software die zijn opgeslagen in public repositories GitHub-organisaties van Google. Denk hierbij aan Google, GoogleAPIs en GoogleCloudPlatform. Ook third-party afhankelijkheden van deze projecten die eerder zijn gemeld bij de afhankelijkheid in kwestie en in een later stadium bij Google OSS VRP worden gemeld komen in aanmerking voor een beloning.

Van 100 tot 31.337 dollar

De focus ligt hierbij op kwetsbaarheden die kunnen leiden tot supplychain-aanvallen, ontwerpfouten die leiden tot kwetsbaarheden en andere beveiligingsproblemen zoals zwakke wachtwoorden, onveilige installaties of het gebruik van zwakke en/of uitgelekte inloggegevens. De beloningen die Google via het OSS VRP biedt variëren van 100 tot 31.337 dollar. De grotere beloningen zijn voornamelijk gericht op kwetsbaarheden in Bazel, Angular, Golang, Protocol buffers en Fuchsia. Google wil deze lijst in de toekomst verder uitbreiden.

Meer informatie is hier beschikbaar.