Google amplia bug bounty para cobrir GitHub e outros projetos

Programa de recompensas por descoberta de vulnerabilidades inclui produtos como Chrome, Android, smartphones Pixel e a linha Google Nest de produtos domésticos inteligentes
Da Redação
02/09/2022

O Google está ampliando o seu programa de recompensas por descoberta de vulnerabilidades de aplicativos. Na terça-feira, 30 de agosto, a empresa lançou o Open Source Software Vulnerability Rewards Program (OSS VRP) para recompensar descobertas de bugs nos projetos de código aberto do Google.

O programa abrange todas as versões atualizadas de software de código aberto (incluindo definições de configuração de repositório, como o GitHub Actions) armazenadas nos repositórios públicos de propriedade do Google (como Google, GoogleAPIs, Google Cloud Platform), bem como projetos que a empresa mantém, como a linguagem de programação Golang Go, a plataforma de desenvolvedores web Angular e o sistema operacional Fuchsia.

“A adição deste novo programa aborda a realidade cada vez mais prevalente dos crescentes compromissos da cadeia de suprimentos”, disse o Google em comunicado. “No ano passado, houve um aumento de 650% ano sobre ano nos ataques direcionados à cadeia de suprimentos de software de código aberto, incluindo incidentes como Codecov e a vulnerabilidade Log4j, que mostraram o potencial destrutivo de uma única vulnerabilidade de código aberto”, completa a nota.

Segundo o Google, o OSS VRP faz parte do compromisso da empresa de investir US$ 10 bilhões para melhorar a segurança cibernética, incluindo a proteção da cadeia de suprimentos contra esses tipos de ataques para usuários do Google e consumidores de código aberto em todo o mundo.

O programa geral inclui recompensas por encontrar vulnerabilidades em produtos do Google, como Chrome, Android, smartphones Pixel, a linha Google Nest de produtos domésticos inteligentes, smartwatches Fitbit, determinados aplicativos da Google Play Store e outras áreas. Nos últimos 12 anos, o programa premiou mais de 13 mil descobertas de bugs, para as foram desembolsados mais de US$ 38 milhões.

Veja isso
Maior programa de bug bounty critica qualidade de patches
Grupo Lockbit abre o primeiro bug bounty do cibercrime

O novo programa não se concentra apenas nos projetos de código aberto do Google, mas também nas dependências de terceiros desses projetos (com notificação prévia à dependência afetada necessária antes do envio ao OSS VRP do Google).

Os principais prêmios serão para vulnerabilidades encontradas nos projetos mais sensíveis: Bazel, Angular, Golang, buffers de protocolo e Fuchsia. Após o lançamento inicial, essa lista será expandida.

O programa procura vulnerabilidades que levam ao comprometimento da cadeia de suprimentos; problemas de design que causam vulnerabilidades no produto; outros problemas de segurança, como credenciais confidenciais ou vazadas e senhas fracas ou instalações inseguras.

Dependendo da gravidade da vulnerabilidade e da importância do projeto, as recompensas variam de US$ 100 a US$ 31.337. As quantias maiores também irão para vulnerabilidades incomuns ou particularmente interessantes, então a criatividade é incentivada.

Consulte as regras do programa para obter mais informações.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)