行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
谷歌发布开源漏洞奖励计划
2022-09-01 15:54:32 【

随着供应链攻击威胁与日俱增,全球巨头纷纷出台各种措施,以降低供应链攻击带来的威胁。2022年5月,谷歌就成立乐一个新的“开源维护团队”,专注于加强关键开源项目的安全性。


8月29日,谷歌再次出台新的举措,推出了开源软件漏洞奖励计划 (OSS VRP),是首批特定于开源的漏洞计划之一。奖励金额从100 美元到 31337 美元(约合人民币21万+)不等,以保护生态系统免受供应链攻击。


众所周知,谷歌是Angular、Bazel、Golang、Protocol Buffers 和 Fuchsia 等项目的主要维护者,推出OSS VRP旨在奖励那些可能对更大的开源领域产生重大影响的漏洞发现。由 Google 管理并托管在 GitHub 等公共存储库上的其他项目,以及这些项目中包含的第三方依赖项也符合条件。


白帽黑客提交的漏洞需满足以下要求:


导致供应链受损的漏洞;


导致产品漏洞的设计问题;


其他安全问题,例如敏感或泄露的凭据、弱密码或不安全的安装。


随着针对 Maven、NPM、PyPI 和 RubyGems 的供应链攻击不断升级,加强开源组件,特别是作为许多软件构建块的第三方库,已成为当务之急。


2021年12月爆发的 Log4j Java 日志库中的Log4Shell漏洞就是一个典型例子,它造成了相当广泛的破坏,并成为改善软件供应链状态的号角。


谷歌Francis Perron 和 Krzysztof Kotowicz 表示:“去年,针对开源供应链的攻击同比增长了650%,包括Codecov和 Log4j 漏洞等在内,这些事件显示了单个开源漏洞的破坏性潜力”。


开源软件漏洞奖励计划是继谷歌2021年11月推出的Linux内核特权升级和Kubernetes逃逸漏洞奖励计划,而制定的又一重要漏洞奖励机制。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇CVSS评分机制会将企业漏洞管理引.. 下一篇确保数据安全方能为云安全打牢“..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800