Google hat eine neue Initiative namens OSS VRP (Open Source Software Vulnerability Rewards Program) eingeführt, um Geldprämien für die Identifizierung von Sicherheitsproblemen in den Open-Source-Projekten Bazel, Angular, Go, Protocol Buffers und Fuchsia sowie in Projekten zu zahlen, die in Google-Repositories entwickelt wurden GitHub (Google, GoogleAPIs, GoogleCloudPlatform usw.) und die darin verwendeten Abhängigkeiten.
Diese Initiative ergänzt bestehende Prämienprogramme, die Projekte wie den Linux-Kernel, Chrome, Chrome OS, Android und Kubernetes abdecken. Es wird darauf hingewiesen, dass Google in den zwölf Jahren, in denen solche Programme existierten, 12 Millionen US-Dollar an Belohnungen für die Entdeckung von mehr als 38 Schwachstellen gezahlt hat. Der Preis liegt zwischen 13 und 100 US-Dollar, abhängig von der Schwere der Schwachstelle und der Bedeutung des Projekts. Bei besonders interessanten Schwachstellen kann der Auszahlungsbetrag erhöht werden.
Source: opennet.ru