Google ha introducido una nueva iniciativa llamada OSS VRP (Open Source Software Vulnerability Rewards Program) para pagar recompensas en efectivo por identificar problemas de seguridad en proyectos de código abierto Bazel, Angular, Go, Protocol buffers y Fuchsia, así como en proyectos desarrollados en los repositorios de Google en GitHub (Google, GoogleAPIs, GoogleCloudPlatform, etc.) y las dependencias utilizadas en ellos.
Esta iniciativa complementa los programas de recompensas existentes que cubren proyectos como el kernel de Linux, Chrome, Chrome OS, Android y Kubernetes. Cabe señalar que durante los 12 años de existencia de dichos programas, Google pagó 38 millones de dólares en recompensas por descubrir más de 13 mil vulnerabilidades. La indemnización oscila entre $100 y $31337 dependiendo de la gravedad de la vulnerabilidad y la importancia del proyecto. Para vulnerabilidades particularmente interesantes, se puede aumentar el monto del pago.
Fuente: opennet.ru