Google hat eine neue Initiative, das OSS VRP (Open Source Software Vulnerability Rewards Program), ins Leben gerufen, um finanzielle Belohnungen für die Entdeckung von Sicherheitsproblemen in offenen Projekten wie Bazel, Angular, Go, Protocol Buffers und Fuchsia sowie in Projekten, die in Googles Repositories auf GitHub (wie Google, GoogleAPIs, GoogleCloudPlatform usw.) entwickelt werden, zu vergeben und deren Abhängigkeiten zu berücksichtigen.
Die vorgestellte Initiative ergänzt bereits bestehende Belohnungsprogramme, die Projekte wie den Linux-Kernel, Chrome, Chrome OS, Android und Kubernetes umfassen. In den 12 Jahren des Bestehens solcher Programme hat Google insgesamt 38 Millionen Dollar für die Entdeckung von über 13.000 Sicherheitsanfälligkeiten ausgezahlt. Die Höhe der Belohnung reicht von 100 bis 31.337 Dollar, abhängig von der Schwere der Sicherheitsanfälligkeit und der Bedeutung des Projekts. Für besonders interessante Sicherheitsanfälligkeiten kann die Auszahlungssumme erhöht werden.
Quelle: opennet.ru
