Google pagará a quienes encuentren vulnerabilidades de seguridad en sus proyectos

El gigante tecnológico o mejor conocido como industria #Google pagará a todos aquellos usuarios que encuentren fallos de seguridad en el software de código abierto o en los componentes.


Compañía de Google

La comunidad tecnológica Google ha introducido un nuevo programa de recompensas el cual consiste en detectar los diferentes tipos de vulnerabilidades. Esta novedad paga a aquellos usuarios que encuentren fallos de seguridad dentro del software de código abierto o en los componentes de este.


Esta gran empresa de industria tecnológica pagará entre 100 y 30.000 euros por dar a conocer todos los errores encontrados dentro de los proyectos como Angular, GoLang y Fuchsia. Además, de que ofrece dichas recompensas económicas por detectar vulnerabilidades en todas las dependencias existentes de terceros que se incluyen en las bases de código de los proyectos mencionados.


Desde el año 2003, El gran titan tecnológico Google se ha encargado de ayudar o beneficiar a los investigadores de seguridad y a los cazadores de bugs. El programa VRP original, el cual fue diseñado para recompensar y agradecer a los empleados quienes se encargarán de ayudar y salvaguardar el código de Google, el cual está a punto de cumplir 12 años. Lo cual, en base al tiempo, se han añadido a diferentes sistemas operativos y navegadores, Chrome, Android y otros VRP. Todas estas iniciativas han repartido 38 millones de dólares por 13.000 aportes.


Este programa por ahora estará concentrado en la escalada de compromisos en la cadena de suministro. Durante el periodo del año pasado se produjo un aumento del 650% con respecto al año anterior en los ataques dirigidos a la cadena de suministro de código abierto.


El OSS VRP de Google anima a los investigadores a enviar vulnerabilidades de software de código abierto. Lo más destacado del programa:


  • Todo tipo de software de código abierto actualizado en lo cual también se encuentra incluida la configuración del repositorio en los repositorios GitHub propiedad de Google (por ejemplo, Google, GoogleAPIs, GoogleCloudPlatform, etc).

  • Dependencias de terceros (es necesario avisar a las partes pertinentes antes de presentar el VRP de OSS de Google).


De acuerdo con las nuevas reglas de Google, así como también acerca de los pagos del programa dependerán en base a la gravedad del error encontrado, así como de tal manera la importancia del proyecto en el que se encontró. También, hay reglas adicionales sobre las recompensas por las vulnerabilidades de la cadena de suministro:


  • Los investigadores deberán ser quienes informen primero a quien esté realmente a cargo del proyecto así como de todas las áreas o departamentos del mismo antes de comunicárselo a la industria Google.

  • De igual forma deberán demostrar que el problema afecta al proyecto de Google. Si es que se encuentra un error dentro de una parte de la biblioteca que la empresa no usa, no será elegible para el programa y recibir la posible recompensa.


Para todos los investigadores que no estén interesados en recibir este tipo de apoyo o recompensa monetaria, Google menciona que es posible donar sus recompensas o ganancias monetarias a una organización benéfica la cual esta será elegida por el investigador en caso de que esto llegue a suceder la compañía menciono que esta misma duplicará esas donaciones para la industria u organización antes mencionada.




Referencias y Créditos:
3 visualizaciones0 comentarios