A Google anunciou nesta terça, 30/8, um novo programa de recompensas para quem encontrar falhas de segurança no software que usa em seus projetos e promete pagar de R$ 500 a R$ 160 mil por bug identificado. Valem informações sobre bugs em projetos como Angular, GoLang e Fuchsia ou por vulnerabilidades nas dependências de terceiros incluídas nas bases de código desses projetos.
“Dependendo da gravidade da vulnerabilidade e da importância do projeto, as recompensas variam de US$ 100 (R$ 510) a US$ 31.337 (R$ 160 mil). As quantias maiores também irão para vulnerabilidades incomuns ou particularmente interessantes, então a criatividade é incentivada”, publicou a empresa em seu blog de segurança.
Programadores costumam usar código de projetos de código aberto para que não precisem reinventar continuamente a mesma roda. Mas como os desenvolvedores geralmente importam diretamente esse código, bem como quaisquer atualizações, isso introduz a possibilidade de ataques à cadeia de suprimentos. É quando os hackers não visam o código diretamente controlado pelo próprio Google, mas vão atrás dessas dependências de terceiros. Esse tipo de ataque não se limita a projetos de código aberto. E nos últimos anos, grandes empresas tiveram a segurança colocada em risco graças a dependências.
De acordo com as regras do Google, os pagamentos do Open Source Software Vulnerability Rewards Program dependerão da gravidade do bug, bem como da importância do projeto em que foi encontrado (Fuchsia e similares são considerados projetos “principais” e, portanto, têm a maiores pagamentos). Existem também algumas regras adicionais sobre recompensas por vulnerabilidades da cadeia de suprimentos – os pesquisadores terão que informar quem realmente está encarregado do projeto de terceiros primeiro antes de contar ao Google. Eles também precisam provar que o problema afeta o projeto do Google; se houver um bug em uma parte da biblioteca que a empresa não está usando, ela não será elegível para o programa.
O Google também diz que não quer pessoas bisbilhotando serviços de terceiros ou plataformas que usa para seus projetos de código aberto. Se você encontrar um problema com a configuração do repositório do GitHub, tudo bem; se você encontrar um problema com o sistema de login do GitHub, isso não será coberto.
- Fonte: Convergência Digital
- Imagem: Freepik
- 30 de agosto de 2022
