谷歌宣布推出一項新的漏洞賞金計劃，專門針對開源軟件。根據介紹，該開源軟件漏洞賞金計劃 (OSS VRP) 側重于 Google 軟件和存儲庫設置(如 GitHub 操作、應用程序配置和訪問控制規則)，適用于 Google 擁有的 GitHub 組織的公共存儲庫以及其他平臺的一些存儲庫中可用的軟件。

　　“這項新計劃的增加是為了應對日益普遍的供應鏈攻擊的現實。去年，針對開源供應鏈的攻擊同比增長 650%，包括 Codecov 和 Log4j 漏洞等頭條新聞，顯示了單個開源漏洞的破壞性潛力。Google 的 OSS VRP 是我們以 10B 美元改善網絡安全承諾的一部分，包括保護供應鏈免受 Google 用戶和全球開源消費者的此類攻擊。”

　　通過該計劃，谷歌將向相關漏洞披露研究人員提供 100 美元到 31,337 美元的獎金不等，具體取決于所發現的漏洞的嚴重程度。對于特別有意思的漏洞，谷歌方面稱其還可能會小幅增加大約 1,000 美元的獎金。

　　Google OSS 第三方依賴項中的安全漏洞也在此賞金計劃范圍內，但條件是需要先將錯誤報告發送給易受攻擊的包的所有者;因此在將發現結果通知 Google 之前，這些問題會在上游得到解決。

　　通過 3rd-party 依賴項詳細說明漏洞的提交應該：

　　證明漏洞在我們的項目中表現出來(即你必須證明第三方漏洞可以在 Google OSS 中被觸發或利用)。

　　不早于上游修復問題后的 30 天后共享(例如發布補丁軟件包)。

　　谷歌方面透露，最高獎項將頒發給在最敏感項目中發現的漏洞：Bazel、Angular、Golang、Protocol buffers 和 Fuchsia。而在初始推出后，該公司還計劃將擴展此列表。谷歌鼓勵關注可能導致供應鏈受損的漏洞、導致產品漏洞的設計問題以及憑據泄露、弱密碼或不安全安裝等安全問題。

　　針對那些對金錢不感興趣的人，谷歌則將提供以其名義將獎金捐贈給知名慈善機構的選項。“如果你這樣做，我們將根據我們的判斷將你的捐款翻倍。12 個月后仍未領取的任何獎勵將捐贈給我們選擇的慈善機構。”
　　（邯鄲小程序開發）