Google acaba de anunciar su programa de recompensas, el cuál tendrá como objetivo pagar a los investigadores de seguridad por encontrar y reportar errores en las últimas versiones de código abierto, el cuál fue lanzado por Google claro está, Google OSS.
El programa de recompensas por vulnerabilidad de Google ( VPR), el cual fue recientemente anunciado por la compañía se enfoca en lo que respecta al software de Google y la configuración del repositorio.
Quizás te interese: Googerteller: La herramienta que te avisa cuando envías datos a Google
Como serían las acciones de GitHub, configuraciones de aplicaciones y reglas de control de acceso, el cual se aplica al software disponible en repositorios públicos de organizaciones de GitHub, siendo propiedad de Google.
Así como algunos otros repositorios de otras plataformas, las vulnerabilidades de seguridad en las dependencias de terceros de Google OSS, se encuentran dentro del alcance de este programa.
Claro, con la condición específica de que los informes de errores se envíen primero a los propietarios de aquellos paquetes vulnerables, de modo que los problemas se afronten y solucionen antes de informar a Google sobre tales hallazgos.
Para alentar a los usuarios de participar en el programa de recompensas de Google, el gigante tecnológico dijo lo siguiente:
Los principales premios se otorgarán a todas aquellas vulnerabilidades en los proyectos más sensibles, como lo serían:
Bazel, Angular, Golang, Protocol buffers y Fuchsia, expresó Google por medio de un comunicado
El programa de recompensas (VPR) de Google presenta tener buena aceptación
El punto objetivo de OSS VPR de Google son todas aquellas fallas de seguridad, que tendrían un impacto más significativo en la cadena de suministro de software.
Por tal razón, la empresa se encuentra alentando a los cazadores de recompensas a ir detrás de esos errores y centrarse en las vulnerabilidades que podrían comprometer la cadena de suministros.
Además de los problemas de diseño que provocan vulnerabilidades en los productos y problemas de seguridad por credenciales filtradas, contraseñas débiles o instalaciones para nada seguras.
Según el nivel de gravedad de las fallas ya informadas y la importancia de este proyecto, las recompensas finales de este programa de recompensas oscilan entre los 100$ y 31.337$.
Cabe destacar, que los montos de recompensas más grandes serán destinados a vulnerabilidades de seguridad particularmente interesantes y para nada comunes.
Estos tendrán pequeñas bonificaciones de hasta 1.000$ que también se aplicarán a los errores más interesantes e inteligentes, a continuación te diremos el precio de algunos proyectos:
Categoría:
- Compromisos de la cadena de suministro
- Proyectos emblemáticos de SFA: 3,133.7$ – 31,337$
- Proyectos OSS estándar: 1,337 – 13,337
- Vulnerabilidades del producto
- Proyectos emblemáticos de SFA: 500$ – 7,500$
- Proyectos OSS estándar: 101$ – 3,133.7
- Otros problemas de seguridad
- Proyectos emblemáticos de SFA: 1,000$
- Proyectos OSS estándar: 500$
Para garantizar la participación de cuántos más usuarios se puedan, Google dijo lo siguiente:
Antes de iniciar, debes consultar las reglas del programa para obtener mucha más información sobre proyectos y vulnerabilidades fuera del alcance, luego comienza a piratear y háganos saber lo que encuentra; si su envío es particularmente inusual, nos pondremos en contacto con usted y trabajaremos en conjunto, dijo Google. Además del programa de recompensas, puede recibir un reconocimiento público por su contribución, también podrás optar por donar tu recompensa a la caridad por el doble de la cantidad original
El programa de recompensas de Google es todo un éxito
En febrero, Google duplicó las recompensas por vulnerabilidades de día cero y explotación de errores del Kernel de Linux, Google Kubernetes Engine (GKE) o kCTF usando técnicas de explotación únicas.
La compañía también anunció que los errores de Android 13 Beta informados, a través de su programa de recompensas VRP, obtendrá una bonificación del 50% además de la recompensa estándar hasta el 26 de mayo de 2022.
El pago máximo sería de 1,5 millones de dólares por la ejecución completa remota del código, cadena en el Titán M que se usa en los teléfonos Pixel que pueden ejecutar versiones Beta de Android 13.
Desde el lanzamiento y llegada de su programa de recompensas VRP en 2010, Google ha dado en recompensas más de 38 millones de dólares a investigadores de seguridad en más de 84 países por ayudar a encontrar y reportar 13,000 errores.
¿Qué piensas tú del programa de recompensas VRP del gigante tecnológico Google? Gracias a este programa Google ha podido resolver muchos problemas en su red de servicios y aplicaciones.
