Google lanza un nuevo programa de recompensas

  • Actualidad

Buscando mejorar la seguridad de sus proyectos de código abierto, así como las dependencias de terceros de esos proyectos Google anuncia un nuevo programa que recompensa el descubrimiento de errores encontrados en ellos.

De forma que Open Source Software Vulnerability Rewards Program (OSS VRP), se une a la familia de programas de la compañía con el objetivo de que los investigadores “puedan ser recompensados por encontrar errores que podrían afectar potencialmente a todo el ecosistema de código abierto”, dice la compañía en un comunicado en el que recuerda que es responsable de proyectos tan destacados como Golang, Angular o Fuchsia.

“Dependiendo de la gravedad de la vulnerabilidad y la importancia del proyecto, las recompensas oscilarán entre los cien y los 31.337 dólares. Las cantidades más grandes también se destinarán a vulnerabilidades inusuales o particularmente interesantes, por lo que se fomenta la creatividad”, explica la compañía.

El Vulnerability Reward Program (VRP) original de la compañía, establecido para compensar y agradecer a quienes ayudan a que el código de Google sea más seguro, está a punto de cumplir doce años. Con el tiempo el programa se amplió para incluir a Chrome, Android y otras áreas y, en conjunto, los programas han pagado cerca de 38 millones de dólares.

El nuevo Programa de recompensas por vulnerabilidad de software de código abierto (OSS VRP) de Google cubre:

• Las últimas versiones de software de código abierto almacenadas en los repositorios públicos de organizaciones de GitHub, propiedad de Google, y repositorios seleccionados alojados en otras plataformas.

• Ajustes de configuración del repositorio (por ejemplo, acciones de GitHub, reglas de control de acceso, configuraciones de aplicaciones de GitHub)

• Vulnerabilidades en dependencias de terceros (si pueden activarse o explotarse en proyectos de código abierto de Google)

Explica la compañías a través de un post que la creación de este nuevo programa aborda la realidad cada vez más frecuente de los crecientes compromisos de la cadena de suministro. El año pasado se registró un aumento del 650% en los ataques dirigidos a la cadena de suministro de código abierto, incluidos incidentes destacados como Codecov y la vulnerabilidad Log4j que mostró el potencial destructivo de una sola vulnerabilidad de código abierto. “El OSS VRP de Google es parte de nuestro compromiso de 10.000 millones de dóalres para mejorar la ciberseguridad, incluida la protección de la cadena de suministro contra este tipo de ataques tanto para los usuarios de Google como para los consumidores de código abierto en todo el mundo”.