Google pagará recompensas por encontrar fallos en el software de código abierto

Desarrollador escribiendo código
(Crédito de imagen: Shutterstock / Elle Aon)

Google ha lanzado un nuevo programa que pagará recompensas por los fallos encontrados en sus proyectos de código abierto. 

El Programa de Recompensas por Vulnerabilidades en el Software de Código Abierto (OSS VRP) es el último añadido a los VRP existentes del gigante tecnológico que ofrecen dinero por los descubrimientos.

La empresa dice que su primer VRP, dirigido a quienes ayudaron a asegurar el código de Google, fue uno de los primeros del mundo. Ya en su segunda década de funcionamiento, Google quiere destacar su compromiso de apoyar a los investigadores de seguridad y a los cazadores de errores.

Errores en el OSS de Google

Google dice que los VRP cubren varios códigos de Chrome y Android en todas las operaciones de la empresa, lo que ha supuesto el pago de más de 38 millones de dólares a más de 13.000 contribuciones, de un total de 84 países.

Además, Google se ha comprometido a invertir 10.000 millones de dólares para mejorar la ciberseguridad entre sus propios usuarios y los consumidores de software de código abierto. 

Google cita Codecov y Log4j como dos de los incidentes más destacados que han contribuido al aumento del 650% interanual del año pasado en los ataques dirigidos a la cadena de suministro de OSS. 

El blog de seguridad de Google dice que el VRP de OSS se centra en "todas las versiones actualizadas" de OSS almacenadas en los espacios de organización de GitHub, propiedad de Google, como GoogleAPIs y GoogleCloudPlatform, aunque los "principales premios" se reservan para los proyectos más sensibles, que Google establece que son Bazel, Angular, Golang, Protocol buffers y Fuchsia; una lista que se espera que se amplíe tras el lanzamiento inicial del programa.

Los objetivos de los aspirantes a la recompensa incluyen: "vulnerabilidades que lleven a comprometer la cadena de suministro; problemas de diseño que causen vulnerabilidades en los productos, y otros problemas de seguridad como credenciales sensibles o filtradas, contraseñas débiles o instalaciones inseguras".

Las recompensas van desde unos míseros 100$ hasta unos sustanciosos 31.337$, dependiendo de la gravedad de la vulnerabilidad descubierta, sin embargo, cualquier fallo aplicable que se encuentre que no esté relacionado específicamente con este VRP no se desperdiciará, con la promesa de Google de redirigir cualquier hallazgo al VRP correspondiente (y al bote de dinero).

Antonio Romero

Editor en TechRadar España de día, guitarrista de blues y friki de los cómics de noche. ¿O era al revés?

Aportaciones de
TOPICS