Google pagará a partir de ahora a investigadores de seguridad que encuentren e informen de fallos en las últimas versiones del software de código abierto de Google (Google OSS). Esto se hará a través del Programa de Recompensa de Vulnerabilidades (VRP por sus siglas en inglés Vulnerability Reward Program) que la empresa ha anunciado.
Este programa se centra en el software de Google y en la configuración de los repositorios. Por ejemplo, en el software disponible en los repositorios públicos en GitHub que sean propiedad de Google, así como en algunos repositorios de otras plataformas.
Eso sí, para conseguir el dinero del pago que la de Mountain View ofrece, los informes de errores tendrán que enviarse primero a los propietarios de los paquetes vulnerables, para que los problemas se aborden por ellos mismos, antes de informar a Google de los hallazgos.
"Los premios más importantes se destinarán a las vulnerabilidades encontradas en los proyectos más sensibles: Bazel, Angular, Golang, Protocol buffers y Fuchsia", dijo hoy Google.
Importancia de los fallos en la cadena de suministro
El punto central del Programa de Recompensa de Vulnerabilidades de Google OSS son los fallos de seguridad que tendrían un impacto más significativo en la cadena de suministro de software.
Por ello, específicamente, la empresa anima a los investigadores a centrarse en las vulnerabilidades que podrían comprometer la cadena de suministro, los problemas de diseño que causan vulnerabilidades en los productos y los problemas de seguridad como la filtración de credenciales, las contraseñas débiles o las instalaciones inseguras.
Cuando hablamos de ataques a la cadena de suministro, los atacantes comprometen la seguridad de un tercero y consiguen con ello infiltrarse en los sistemas que usan sus servicios.
En función del nivel de gravedad de los fallos notificados y de la importancia del proyecto, las recompensas finales oscilan entre 100 y 31.337 dólares.
Según Google, "además de una recompensa, puedes recibir un reconocimiento público por tu contribución. También puedes optar por donar tu recompensa a una organización benéfica por el doble del importe original".
Ver 7 comentarios