Esta semana Google anunció un programa de bug bounty con el objetivo de mejorar la seguridad de sus proyectos Open Source (Google OSS). A través de este programa de recompensa llamado Vulnerability Reward Program (VRP), la compañía invita a investigadores a reportar vulnerabilidades y bugs que tengan el potencial de afectar este ecosistema.
El VRP comprende todas las últimas versiones de software de código abierto que estén disponibles en repositorios públicos en cuentas de organización de GitHub propiedad de Google, así como algunos otros repositorios seleccionados que están alojados en otras plataformas. Asimismo, el programa también contempla el reporte de vulnerabilidades en dependencias de terceras partes.
En estos casos, Google solicita primero reportar el fallo al desarrollador del paquete vulnerable y asegurarse de que el fallo esté corregido antes de comunicarlo.
Las recompensas más altas serán para vulnerabilidades descubiertas en los proyectos señalados como más importantes, que son Golang, Angular, Bazel, Protocol buffers o Fuchsia, mencionó Google.
Con respecto al pago por vulnerabilidad reportada, los montos más elevados son para fallos que puedan tener impacto en posibles ataques de cadena de suministro, como pueden ser código fuente, distribución de paquetes, etc. Y un escalón más abajo las vulnerabilidades en productos. Por otra parte, además de estas dos categorías el programa establece una diferencia entre los proyectos señalados como importantes y los proyectos open source estándar.
En el caso de los fallos que puedan dar lugar a un ataque que afecte la cadena de suministro, si además involucran a los proyectos catalogados importantes, podrán recibir recompensas que van desde los $3.133 hasta los $31.337, mientras que si el fallo afecta a un proyecto open source estándar las recompensas van desde los $1.337 hasta los $13.337 dólares.
Como decíamos anteriormente, un escalón más abajo están las vulnerabilidades que afectan a productos; es decir, fallos que afecten la confidencialidad e integridad de los datos de las personas en productos que se apoyen en los proyectos de código abierto de Google. Por ejemplo, vulnerabilidades del tipo path traversal, de corrupción de memoria, por nombrar algunas. En estos casos las recompensas van desde los $500 hasta los $7.500 si involucran a algunos de los proyectos importantes, mientras que si afectan a productos estándar los pagos podrán ser desde los $101 hasta los $3.133 dólares.
Por último, el programa establece una categoría aparte para fallos de seguridad que no entren en las anteriores, como son fallos relacionados a contraseñas débiles en sistemas de terceros, filtración de credenciales en backups almacenados de forma pública, o instalaciones inseguras. En estos casos las recompensan son de $1.000 si afectan a los proyectos importantes y $500 si afectan a proyectos estándar.
Google entiende que algunas personas no están interesadas en la recompensa y ofrece la posibilidad de donar el dinero a organizaciones de caridad. En estos casos, Google duplicará la donación. Además aclara que cualquier recompensa por fallo reportado que no se reclame pasados los 12 meses será donado a una organización de caridad elegida por Google.
Para más información sobre las reglas y cómo participar, lee los lineamientos del Google Open Source Software Vulnerability Reward Program.