شركة Google ستدفع الآن مكافآت مقابل أخطاء البرامج مفتوحة المصدر

أطلقت Google برنامجًا جديدًا سيدفع مكافآت للأخطاء الموجودة في مشاريعها مفتوحة المصدر.

يعد برنامج مكافآت ثغرات البرامج مفتوحة المصدر Open Source Software Vulnerability Rewards Program (OSS VRP) أحدث إضافة إلى VRPs الحالية لعملاق التكنولوجيا التي تقدم النقود للاكتشافات.

تقول الشركة أن أول VRP، الذي استهدف أولئك الذين ساعدوا في تأمين كود Google، كان من أوائل الشركات في العالم. في العقد الثاني من عملها، تحرص Google على إبراز التزامها بدعم الباحثين الأمنيين وصائدي الأخطاء.

 
أخطاء Google OSS
تقول Google إن VRPs تغطي العديد من رموز Chrome و Android عبر عمليات الشركة الأوسع، مما أدى إلى دفع أكثر من 38 مليون دولار إلى أكثر من 13000 مساهمة، من إجمالي 84 دولة.

علاوة على ذلك، تعهدت Google باستثمار 10 مليارات دولار لتحسين الأمن السيبراني بين مستخدميها ومستهلكي البرامج مفتوحة المصدر.

تستشهد Google بـ Codecov و Log4j باعتبارهما من أبرز الحوادث التي ساهمت في زيادة الهجمات التي تستهدف سلسلة التوريد في العام الماضي بنسبة 650% على أساس سنوي.

تقول مدونة أمان Google (تفتح في علامة تبويب جديدة) إن OSS VRP يركز على "جميع الإصدارات الحديثة" من OSS المخزنة في مساحات مؤسسة GitHub المملوكة لشركة Google، مثل GoogleAPIs و GoogleCloudPlatform، على الرغم من أن "الجوائز الأولى" محجوزة للمشروعات الأكثر حساسية، والتي حددتها Google لتكون Bazel و Angular و Golang و Protocol buffers و Fuchsia ؛ قائمة من المتوقع أن تتوسع بعد طرح البرنامج الأولي.

وتشمل أهداف أي صيادين ما يلي: "نقاط الضعف التي تؤدي إلى حل وسط في سلسلة التوريد؛ مشكلات التصميم التي تسبب ثغرات في المنتج؛ [و] مشكلات الأمان الأخرى مثل بيانات الاعتماد الحساسة أو المسربة أو كلمات المرور الضعيفة أو عمليات التثبيت غير الآمنة".

تتراوح المكافآت من 100 دولار إلى 31337 دولارًا أمريكيًا، اعتمادًا على شدة الثغرة الأمنية التي تم اكتشافها، ومع ذلك لن يتم إهدار أي أخطاء قابلة للتطبيق لا تتعلق على وجه التحديد بـ VRP هذا، مع وعد Google بإعادة توجيه أي نتائج إلى ذات الصلة VRP (ووعاء نقدي).