Google ha introdotto una nuova iniziativa denominata OSS VRP (Open Source Software Vulnerability Rewards Program) per pagare premi in denaro per l'identificazione di problemi di sicurezza nei progetti open source Bazel, Angular, Go, Protocol buffers e Fuchsia, nonché nei progetti sviluppati nei repository di Google su GitHub (Google, GoogleAPIs, GoogleCloudPlatform, ecc.) e le dipendenze in essi utilizzate.
Questa iniziativa integra i programmi bounty esistenti che coprono progetti come il kernel Linux, Chrome, Chrome OS, Android e Kubernetes. Va notato che nel corso dei 12 anni di esistenza di tali programmi, Google ha pagato 38 milioni di dollari in ricompense per aver scoperto più di 13mila vulnerabilità. Il premio varia da 100 a 31337 dollari a seconda della gravità della vulnerabilità e dell’importanza del progetto. Per vulnerabilità particolarmente interessanti l'importo del pagamento potrebbe essere aumentato.
Fonte: opennet.ru