Google针对旗下开源建设项目推出抓漏奖励

DoNews 8月31日消息（刘文轩）Google针对母公司的Apache硬件另一款抓漏奖励蓝图 OSS VRP（Open Source Software Vulnerability Rewards Program），该蓝图后期将锁定Bazel、 Angular、Golang、Protocol buffers与Fuchsia等单项，奖金从100美元到31337美元差不多，Google还忽略，不奇怪及古怪的Bug或许会获得较高的奖励，瞩目安全研究人员发挥创意。

Google指出，OSS VRP是为了解决越来越值得注意的供应链安全问题，月份锁定Apache代码供应链的攻击行动增加了650%，Codecov与Log4jBug愈来愈彰显出Apache代码的单一Bug或许带来的核战。此外，OSS VRP也是Google履行100亿美元安全基金希望的一环。

OSS VRP适用于所有发布新闻存放在Google名下的最新Apache码硬件，以及与这些Apache专案系统性的第三方单项。 Google认为，硬件套件安全性的无疑之一就是其系统性单项的安全性，因此第三方单项的安全Bug也在此一蓝图的各地区。不过，Google鼓励安全研究人员应该先把Bug文档提交给单项的由此可知发者，再证明该Bug会影响GoogleApache硬件。