最高超过20万，谷歌发布开源漏洞奖励计划

随着供应链攻击威胁与日俱增  ，最高全球巨头纷纷出台各种措施 ，超过以降低供应链攻击带来的布开威胁。2022年5月，源漏谷歌就成立乐一个新的洞奖“开源维护团队”，专注于加强关键开源项目的励计安全性。

8月29日
，最高谷歌再次出台新的超过举措，服务器租用推出了开源软件漏洞奖励计划 (OSS VRP) ，布开是源漏首批特定于开源的漏洞计划之一。奖励金额从100 美元到 31337 美元（约合人民币21万+）不等 ，洞奖以保护生态系统免受供应链攻击。励计

众所周知，最高谷歌是超过Angular 、Bazel 、布开Golang、香港云服务器Protocol Buffers 和 Fuchsia 等项目的主要维护者，推出OSS VRP旨在奖励那些可能对更大的开源领域产生重大影响的漏洞发现 。由 Google 管理并托管在 GitHub 等公共存储库上的其他项目，以及这些项目中包含的第三方依赖项也符合条件
。

白帽黑客提交的漏洞需满足以下要求：

导致供应链受损的模板下载漏洞；导致产品漏洞的设计问题；其他安全问题，例如敏感或泄露的凭据 、弱密码或不安全的安装 。

随着针对 Maven 、NPM 、PyPI 和 RubyGems 的供应链攻击不断升级 ，加强开源组件
，源码库特别是作为许多软件构建块的第三方库 ，已成为当务之急。

供应链攻击（图片来源：Sonatype）

2021年12月爆发的 Log4j Java 日志库中的Log4Shell漏洞就是一个典型例子 ，它造成了相当广泛的破坏，并成为改善软件供应链状态的免费模板号角 。

谷歌Francis Perron 和 Krzysztof Kotowicz 表示 ：“去年
，针对开源供应链的攻击同比增长了650% ，包括Codecov和 Log4j 漏洞等在内
，这些事件显示了单个开源漏洞的破坏性潜力”
。

开源软件漏洞奖励计划是继谷歌2021年11月推出的Linux内核特权升级和Kubernetes逃逸漏洞奖励计划
，而制定的源码下载又一重要漏洞奖励机制。

参考来源：https://thehackernews.com/2022/08/google-launches-new-open-source-bug.html

很赞哦!（474）