谷歌现在将为开源软件错误支付奖金

谷歌推出了一项新计划，将为在其开源项目中发现的错误支付奖金。开源软件漏洞奖励计划(在新标签中打开)(OSSVRP)是这家科技巨头现有VRP的最新成员，为发现提供现金。

该公司表示，它的第一个VRP，针对那些帮助保护谷歌代码的人，是世界上第一个。在其运营的第二个十年中，谷歌热衷于强调其对支持安全研究人员和漏洞搜寻者的承诺。

谷歌表示，VRP涵盖了公司更广泛业务中的各种Chrome和Android代码，这导致来自84个国家/地区的13,000多个捐款支付了超过3800万美元。

此外，谷歌已承诺投资100亿美元来改善其用户和开源软件消费者的网络安全。

Google将Codecov和Log4j列为最突出的两个事件，它们导致去年针对OSS供应链的攻击同比增长650%。

谷歌的安全博客(在新标签中打开)表示OSSVRP专注于存储在Google拥有的GitHub组织空间中的OSS的“所有最新版本”，例如GoogleAPI和GoogleCloudPlatform，尽管“最高奖项”保留给最敏感的项目，由Google设置将是Bazel、Angular、Golang、Protocolbuffers和Fuchsia;预计在初始程序推出后扩展的列表。

任何猎手的目标包括：“导致供应链受损的漏洞;导致产品漏洞的设计问题;[和]其他安全问题，例如敏感或泄露的凭据、弱密码或不安全的安装。”

奖励从区区100美元到31,337美元不等，具体取决于所发现漏洞的严重程度，但不应浪费任何发现的与此VRP无关的适用错误，谷歌承诺将任何发现重定向到相关VRP(和一大笔现金)。