Esta semana, o Google anunciou um programa de bug bountry com o objetivo de melhorar a segurança de seus projetos Open Source (Google OSS). Através deste programa de recompensas chamado Open Source Software Vulnerability Rewards Program, a empresa convida a pesquisadores a reportar vulnerabilidades e bugs que possam afetar ao ecossistema dos projetos Open Source.
O Open Source Software Vulnerability Rewards Program compreende todas as últimas versões de software de código aberto que estão disponíveis em repositórios públicos nas contas da organização do GitHub de propriedade do Google, assim como outros repositórios selecionados que estão hospedados em outras plataformas. Além disso, o programa também inclui a descoberta de vulnerabilidades nas dependências de terceiros.
Nestes casos, o Google primeiro solicita que o bug seja reportado ao desenvolvedor do pacote vulnerável e que a falha esteja corrigida antes de comunicá-la.
As maiores recompensas serão para as vulnerabilidades descobertas nos projetos identificados como mais importantes. São eles: Golang, Angular, Bazel, Protocol buffers o Fuchsia, destacou o Google.
Com relação ao pagamento por vulnerabilidade reportada, os valores mais altos são para bugs que podem ter um impacto em possíveis ataques à cadeia de suprimentos, tais como código-fonte, distribuição de pacotes, etc. E os menores valores são para as vulnerabilidades nos produtos. Além destas duas categorias, o programa estabelece uma diferença entre projetos identificados como importantes ou padrão.
No caso de bugs que possam levar a um ataque que afete à cadeia de suprimentos, caso também envolvam os projetos categorizados como importantes, os participantes podem receber recompensas que variam de R$ 16.408 a R$ 164.124, enquanto que se o bug afetar a um projeto padrão, as recompensas variam de R$ 7.002 a R$ 69.851.
Como mencionado anteriormente, os menores valores serão pagos para as vulnerabilidades que prejudicam os produtos, ou seja, falhas que afetam a confidencialidade e integridade dos dados das pessoas em produtos que dependem dos projetos de código aberto do Google. Por exemplo, vulnerabilidades do tipo path traversal e falhas de corrupção de memória. Nestes casos, as recompensas variam de R$ 2.618 a R$ 39.280 caso sejam relacionadas aos projetos principais, já as falhas que afetam produtos padrão, os pagamentos podem variar de R$ 528 a R$ 16.408.
O programa estabelece uma categoria separada para vazamentos de dados que não se enquadram nas categorias acima, tais como vazamentos relacionados a senhas fracas em sistemas de terceiros, filtração de dados de acesso em backups armazenados publicamente, ou instalações inseguras. Nestes casos, as recompensas são de R$ 5.236 se afetarem a projetos importantes e de R$ 2.618 caso sejam relacionadas aos projetos padrão.
O Google entende que algumas pessoas não estão interessadas na recompensa e oferece a possibilidade de doar o dinheiro para instituições de caridade. Nestes casos, o Google duplicará a doação. A empresa também esclarece que qualquer recompensa por bugs não recebida pelo pesquisador após 12 meses será doada a uma instituição de caridade à escolha do Google.
Para mais informações sobre as regras e como participar, leia as diretrizes do Google Open Source Software Vulnerability Reward Program.