Googleがバグバウンティプログラムを拡大、自社オープンソースの脆弱性も対象に

 Google(米Alphabet傘下)は8月30日、Googleのオープンソースプロジェクトのバグ発見に報酬を支払う「Open Source Software Vulnerability Rewards Program(OSS VRP)」を発表した。

 Open Source Software Vulnerability Rewards Program(OSS VRP)はGoogleが展開中のバグ発見報酬プログラムVulnerability Reward Programs(VRPs)に加わる最新のプログラムとなり、Googleのオープンソースプロジェクトにおける脆弱性を外部のセキュリティ専門家らが発見した場合に報酬を支払う。

 対象は、GoogleがGitHubで公開しているリポジトリにあるソフトウェアおよび、プロジェクトが使用する外部の依存性。サプライチェーンの攻撃に繋がる脆弱性、製品の脆弱性に繋がる設計段階のイシュー、パスワードや安全ではないインストールなどその他のセキュリテイ上のイシューの発見に対して報酬を支払う。報酬は100ドル〜3万1337ドル。脆弱性の深刻度とプロジェクトの重要性を考慮して金額を決定する。

 まずはBazel、Angular、Go言語、Protocol buffers、Fuchsiaなどの重要度の高いプロジェクトを対象とし、その後拡大していく予定という。  Googleが最初にVRPとしてバグ発見プログラムを開始したのは12年前で、この間VRPのラインナップを拡充してきた。累計で1万3000件以上の報告があり、支払った金額は3800万ドル以上に達しているという。

Open Source Software Vulnerability Rewards Program(OSS VRP)
https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules