谷歌宣布推出一項(xiàng)新的漏洞賞金計(jì)劃，專門針對開源軟件。根據(jù)介紹，該開源軟件漏洞賞金計(jì)劃 (OSS VRP) ?側(cè)重于 Google 軟件和存儲庫設(shè)置（如 GitHub 操作、應(yīng)用程序配置和訪問控制規(guī)則），適用于 Google 擁有的 GitHub 組織的公共存儲庫以及其他平臺的一些存儲庫中可用的軟件。

“這項(xiàng)新計(jì)劃的增加是為了應(yīng)對日益普遍的供應(yīng)鏈攻擊的現(xiàn)實(shí)。去年，針對開源供應(yīng)鏈的攻擊同比增長 650%，包括 Codecov 和 Log4j 漏洞等頭條新聞，顯示了單個開源漏洞的破壞性潛力。Google 的 OSS VRP 是我們以 10B 美元改善網(wǎng)絡(luò)安全承諾的一部分，包括保護(hù)供應(yīng)鏈免受 Google 用戶和全球開源消費(fèi)者的此類攻擊?！?/p>

通過該計(jì)劃，谷歌將向相關(guān)漏洞披露研究人員提供 100 美元到 31,337 美元的獎金不等，具體取決于所發(fā)現(xiàn)的漏洞的嚴(yán)重程度。對于特別有意思的漏洞，谷歌方面稱其還可能會小幅增加大約 1,000 美元的獎金。

Google OSS 第三方依賴項(xiàng)中的安全漏洞也在此賞金計(jì)劃范圍內(nèi)，但條件是需要先將錯誤報(bào)告發(fā)送給易受攻擊的包的所有者；因此在將發(fā)現(xiàn)結(jié)果通知 Google 之前，這些問題會在上游得到解決。

通過 3rd-party 依賴項(xiàng)詳細(xì)說明漏洞的提交應(yīng)該：

• 證明漏洞在我們的項(xiàng)目中表現(xiàn)出來（即你必須證明第三方漏洞可以在 Google OSS 中被觸發(fā)或利用）。
• 不早于上游修復(fù)問題后的 30 天后共享（例如發(fā)布補(bǔ)丁軟件包）。

谷歌方面透露?，最高獎項(xiàng)將頒發(fā)給在最敏感項(xiàng)目中發(fā)現(xiàn)的漏洞：Bazel、Angular、Golang、Protocol buffers 和 Fuchsia。而在初始推出后，該公司還計(jì)劃將擴(kuò)展此列表。谷歌鼓勵關(guān)注可能導(dǎo)致供應(yīng)鏈?zhǔn)軗p的漏洞、導(dǎo)致產(chǎn)品漏洞的設(shè)計(jì)問題以及憑據(jù)泄露、弱密碼或不安全安裝等安全問題。

針對那些對金錢不感興趣的人，谷歌則將提供以其名義將獎金捐贈給知名慈善機(jī)構(gòu)的選項(xiàng)?！叭绻氵@樣做，我們將根據(jù)我們的判斷將你的捐款翻倍。12 個月后仍未領(lǐng)取的任何獎勵將捐贈給我們選擇的慈善機(jī)構(gòu)。”?