谷歌推出开源漏洞奖励计划

关键要点

• 谷歌推出了开源漏洞奖励计划（OSS VRP），以奖励在其开源项目中发现的漏洞。
• 该计划旨在应对供应链攻击的增加，去年开源供应链攻击上升了650%。
• OSS VRP是谷歌承诺的100亿美元网络安全投资的一部分。
• 该计划得到网络安全社区积极响应，促进了研究者与谷歌之间的合作。

在应对网络安全威胁方面，谷歌的最新举措是推出开源漏洞奖励计划（OSSVRP），旨在奖励发现谷歌开源项目中的漏洞。谷歌在中表示，新的漏洞奖励计划是为了响应近期供应链攻击的上升趋势。去年，面向开源供应链的攻击事件增加了，包括诸如和等重大事件。

谷歌表示，新的OSS VRP计划是其的一部分，旨在保护用户以及全球开源消费者的供应链安全。

根据Bugcrowd的首席运营官DaveGerry的说法，确保开源软件及更广泛的软件供应链的安全仍然是全球安全组织的重要关注点。他表示，谷歌利用研究者社区的人力智力，显示出其致力于确保开源项目的安全。

“这表明一个开源软件领导者正在采取重要措施，以确保其提供安全的开源组件，”Gerry指出。

BluBracket的产品与开发者赋能负责人CaseyBisson也提到，软件和大多数云应用大多依赖于开源。作为多个开源项目的管理者，谷歌的奖励计划是应对不断增长的软件供应链攻击风险的必要反应。

Bisson表示：“谷歌已开源了多个项目，以扩展其生态系统和影响力。现在，针对这些项目提供安全奖励，使它们获得与谷歌其服务产品类似的保护等级。”

Vulcan Cyber的高级技术工程师MikeParkin认为，谷歌已成为开源软件生态系统的重要贡献者，看到他们通过漏洞奖励计划支持开源项目是件好事。他表示，开源项目本身具有更多的眼光去审视代码，这样漏洞往往能够更快被发现和修复。

“这样的漏洞奖励计划将激励人们更深入地查看，”Parkin说。他补充道：“理想情况下，这样的计划可以扩展到与大型科技公司没有关联的‘非赞助’项目，从而帮助其他重要的但资金不足的开源项目。”

Cybrary的首席影响官Chloé
Messdaghi补充说，看到网络安全社区的领导者主动与安全研究人员、黑客社区以及谷歌之间建立联系实属可喜。Messdaghi提到，黑客社区希望知道他们的贡献受到认可和欣赏。

“当公司通过奖励计划积极参与更广泛的社区时，整个安全贡献者领域都将提升，”Messdaghi表示。“谷歌在这里的举措使奖励计划在安全生态系统中进一步发展。每当一家公司推出漏洞奖励计划时，那就是在传达这一重要信息，并邀请社区中的其他人效仿。这为游走于内部安全团队与外部自由职业者之间的‘白帽’黑客创造了一个更安全的环境。”

通过这一奖励计划，谷歌不仅提升了其开源项目的安全性，也为整个网络安全生态系统注入了新的活力。