Google宣布扩展针对开源软件的新一期漏洞奖励计划

Google宣布扩展针对开源软件的新一期漏洞奖励计划Google早在2010年就推出了漏洞奖励计划(VRP)。顾名思义,它鼓励研究人员和网络安全专家检测安全问题和漏洞,然后私下向供应商报告。报告后,这些漏洞将被公司修复,发现问题的人将获得金钱奖励。在过去几年中,Google一直致力于统一该平台,并将其扩展到更多平台。今天,该公司宣布了又一次扩张,这次是在开放源代码软件(OSS)领域。Google强调,它是开放源码软件最大的贡献者和维护者之一,旗下有Golang、Angular和Fuchsia等项目,因此它理解保护这一领域的必要性。因此,它的OSSVRP计划也是为了鼓励在这方面的努力。OSSVRP侧重于Google旗下的任何OSS代码。这不仅包括其维护的项目,还包括由其他供应商维护的任何OSS依赖。本VRP所涵盖的两类开放源码软件定义如下:储存在Google旗下GitHub组织的公共存储库中的所有最新版本的开源软件(包括存储库设置)。这些项目的第三方依赖(在提交给Google的OSSVRP之前需要事先通知受影响的依赖方)Google现在接受的提交类型包括供应链妥协、设计缺陷和一般的安全问题,如薄弱或泄露的凭证,或不安全的部署。奖励从100美元开始,最高可达31337美元,不过,上限通常针对更敏感的项目,如Bazel、Angular、Golang、协议缓冲区和Fuchsia。Google希望这种社区驱动的合作努力将有助于提高开放源码软件的安全性。该倡议是Google一年前与美国总统拜登会面后宣布的100亿美元网络安全投资的一部分。早在4月,Google承诺支持开源安全基金会(OpenSSF)的软件包分析项目,以检测恶意的开源软件包也。如果你对参与OSSVRP感兴趣,你可以在这里查看要求和其他流程:https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules...PC版:https://www.cnbeta.com/articles/soft/1310487.htm手机版:https://m.cnbeta.com/view/1310487.htm

相关推荐

封面图片

Google 和 Alphabet “漏洞奖励计划”奖励增加 5 倍至 151,515 美元

Google和Alphabet“漏洞奖励计划”奖励增加5倍至151,515美元自2010年以来,“Google漏洞奖励计划(VRP)”一直在奖励在Google系统和应用程序中漏洞的发现者。随着时间的推移,该公司认为其系统变得更加安全,发现漏洞需要更长的时间,因此宣布将把奖励金额上调至5倍,最高奖励为151,515美元(对于Google最敏感的产品中的“远程代码执行”(RCE)奖励为101,010美元,对于报告质量优异的奖励将提升至1.5倍,即151,515美元)。从今年7月11日起提交的漏洞报告才有资格使用新的奖励表。对于为什么奖励是101,010美元,该公司称,因为他们是42这个数字的粉丝。——
封面图片

Google上线开放源码项目GUAC 旨在促进供应链安全

Google上线开放源码项目GUAC旨在促进供应链安全软件供应链安全是目前很多议程中的重中之重,自从Log4j漏洞被发现和美国关于网络安全的行政命令下达以来更是如此。Google正在为一个新的开源项目寻求贡献者,该项目名为GUAC(理解工件构成的图形),虽然处于早期阶段,但准备改变该行业对软件供应链的理解方式。PC版:https://www.cnbeta.com/articles/soft/1329711.htm手机版:https://m.cnbeta.com/view/1329711.htm
封面图片

[安全: 包含已知漏洞的开源代码被广泛使用]

[安全:包含已知漏洞的开源代码被广泛使用]企业在大量使用开源代码,但在使用开源代码时他们很少对其进行安全检查,一个不可避免的结果是他们的软件项目使用的开源组件包含了已知的漏洞。提供源码托管服务的Sonatype公司估计,80%到90%的企业代码实际上是由开源组件构成,是从公开代码库直接导入。Sonatype分析了3000家机构的超过2.5万企业应用,发现一家企业每年下载了5000个不同的开源组件。年代最悠久的组件有最高的几率包含安全漏洞。修正安全漏洞将需要耗费大量资金。http://www.sonatype.com/hubfs/SSC/2016_State_of_the_Software_Supply_Chain_Report.pdf
封面图片

Google开源Paranoid:用于识别各种加密产品中的漏洞

Google开源Paranoid:用于识别各种加密产品中的漏洞Google近日宣布开源Paranoid,该项目主要用于识别各种加密产品中的漏洞。该库支持测试数字签名、通用伪随机数和公钥等多种类型的加密产品,以识别由编程错误或使用弱专有随机数生成器引起的问题。Paranoid项目可以检测任意加密产品、以及那些由未知实现的系统(Google将其称之为“黑匣子”,其特性是源代码无法被检查)生成的产品。项目地址:https://github.com/google/paranoid_crypto在随机数生成器中两个著名的、特定于实现(implementation-specific)的漏洞是DUHK(Don’tUseHardcodedKeys)和ROCA(ReturnofCoppersmith’sAttack),这两个SSL/TLS漏洞在过去5年里已经广为人知。例如,一个跟踪为CVE-2022-26320的错误,这是一个影响多个Canon和Fujifilm打印机系列的加密相关问题,它们生成带有易受攻击的RSA密钥的自签名TLS证书。该问题与Rambus使用Safezone库的基本加密模块有关。Google已经使用Paranoid从CertificateTransparency中检查了包含超过70亿个已发布网站证书的加密产品,并发现了数千个受到严重和高严重性RSA公钥漏洞影响的条目。这些证书中的大多数已经过期或被吊销,其余的被报告为吊销。Paranoid项目包含对ECDSA签名以及RSA和EC公钥的检查,并由Google安全团队积极维护。这个开源库可以被其他人使用,也可以增加透明度,并以对现有资源进行新检查和改进的形式接收来自外部资源的贡献。PC版:https://www.cnbeta.com/articles/soft/1309761.htm手机版:https://m.cnbeta.com/view/1309761.htm
封面图片

在DuckDuckGo 和VikingVPN的资助下,QuarksLab将对开源加密软件VeraCrypt进行安全审计。Vera

在DuckDuckGo和VikingVPN的资助下,QuarksLab将对开源加密软件VeraCrypt进行安全审计。VeraCrypt是TrueCrypt的分支,主要开发者是法国的MounirIdrassi,他在TrueCrypt基础上强化了防暴力破解功能。安全审计对于一款加密软件至关重要,QuarksLab将致力于寻找软件的漏洞和后门,审计结果将首先提供给VeraCrypt的开发者,以避免将新发现的0day漏洞泄漏,在主要漏洞修复之后,安全审计报告将正式公布。https://ostif.org/we-have-come-to-an-agreement-to-get-veracrypt-audited/
封面图片

AMD 推出"漏洞赏金猎人"计划 发现漏洞者最高可获3万美元奖励

AMD推出"漏洞赏金猎人"计划发现漏洞者最高可获3万美元奖励此外,AMD还透露了一个奖励机制,根据该机制,参与该活动的人员将获得现金奖励,奖金根据所发现漏洞的严重程度和各自的级别而有所不同。以下是"漏洞猎人"的奖励方式:图片来源:IntigritiIntigriti其实,漏洞赏金在业内并不新鲜,因为它是公司应对漏洞的一种好方法,无需在检测过程中投入太多。通常情况下,个人首先要深入生态系统检测某个特定的漏洞,完成检测后,他们就会向组织发送一份报告,详细描述该漏洞并披露其潜在影响。在此基础上,实施赏金计划的组织会根据多种因素(其中之一是漏洞严重性)给予猎人相应的奖励。有趣的是,Google的"漏洞奖励计划"(VRP)过去在漏洞赏金领域取得了成功。根据该计划,Google总共向研究人员奖励了3100万美元,通过该计划,Android生态系统中的多个漏洞也被检测到并得到缓解。众所周知,特斯拉和Meta等主流公司也推出了类似的计划,因为这对研究人员和公司来说都是双赢的局面。由于AMD扩大了范围,现在允许公共研究人员参与到这一过程中,因此我们很有兴趣继续观察AMD的新漏洞悬赏计划能取得什么样的成果。...PC版:https://www.cnbeta.com.tw/articles/soft/1433170.htm手机版:https://m.cnbeta.com.tw/view/1433170.htm

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人