Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Google pagará dinero por encontrar vulnerabilidades en sus proyectos de código abierto


Google anuncia el lanzamiento de un programa de bug bounty que pagará a investigadores por el reporte de vulnerabilidades en los programas que formen parte de sus proyectos de código abierto.





Google ha reafirmado su compromiso con el open source y lo ha hecho lanzado un nuevo programa para apoyar a los investigadores de seguridad y a los cazadores de errores ofreciendo recompensas en efectivo a cualquiera que pueda descubrir vulnerabilidades en los proyectos de software de código abierto que dirige.

Google anunció un programa de bug bounty con el objetivo de mejorar la seguridad de sus proyectos Open Source (Google OSS). A través de este programa de recompensa llamado Vulnerability Reward Program (VRP), la compañía invita a investigadores a reportar vulnerabilidades y bugs que tengan el potencial de afectar este ecosistema.

El VRP comprende todas las últimas versiones de software de código abierto que estén disponibles en repositorios públicos en cuentas de organización de GitHub propiedad de Google, así como algunos otros repositorios seleccionados que están alojados en otras plataformas. Asimismo, el programa también contempla el reporte de vulnerabilidades en dependencias de terceras partes.

En estos casos, Google solicita primero reportar el fallo al desarrollador del paquete vulnerable y asegurarse de que el fallo esté corregido antes de comunicarlo.

Google es el principal responsable de numerosos proyectos importantes de código abierto, tal es el ejemplo de Android, Golang, el marco de aplicaciones web basado en TypeScript Angular y el sistema operativo Fuchsia para dispositivos domésticos inteligentes como Nest.

Las recompensas más altas serán para vulnerabilidades descubiertas en los proyectos señalados como más importantes, que son Golang, Angular, Bazel, Protocol buffers o Fuchsia, mencionó Google.

Con respecto al pago por vulnerabilidad reportada, los montos más elevados son para fallos que puedan tener impacto en posibles ataques de cadena de suministro, como pueden ser código fuente, distribución de paquetes, etc. Y un escalón más abajo las vulnerabilidades en productos. Por otra parte, además de estas dos categorías el programa establece una diferencia entre los proyectos señalados como importantes y los proyectos open source estándar.


Las vulnerabilidades son un gran problema, explicó Google en una publicación de blog. Dijo que hubo un aumento del 650% en los ataques dirigidos a la cadena de suministro de software de código abierto el año pasado, lo que resultó en incidentes importantes como la vulnerabilidad Log4Shell que fue explotada.

  • Google alienta a los investigadores a revisar su código de software de código abierto e informar cualquier vulnerabilidad que descubran. 

En el caso de los fallos que puedan dar lugar a un ataque que afecte la cadena de suministro, si además involucran a los proyectos catalogados importantes, podrán recibir recompensas que van desde los $3.133 hasta los $31.337, mientras que si el fallo afecta a un proyecto open source estándar las recompensas van desde los $1.337 hasta los $13.337 dólares.

Como decíamos anteriormente, un escalón más abajo están las vulnerabilidades que afectan a productos; es decir, fallos que afecten la confidencialidad e integridad de los datos de las personas en productos que se apoyen en los proyectos de código abierto de Google. Por ejemplo, vulnerabilidades del tipo path traversal, de corrupción de memoria, por nombrar algunas. En estos casos las recompensas van desde los $500 hasta los $7.500 si involucran a algunos de los proyectos importantes, mientras que si afectan a productos estándar los pagos podrán ser desde los $101 hasta los $3.133 dólares.

Por último, el programa establece una categoría aparte para fallos de seguridad que no entren en las anteriores, como son fallos relacionados a contraseñas débiles en sistemas de terceros, filtración de credenciales en backups almacenados de forma pública, o instalaciones inseguras. En estos casos las recompensan son de $1.000 si afectan a los proyectos importantes y $500 si afectan a proyectos estándar.

Google entiende que algunas personas no están interesadas en la recompensa y ofrece la posibilidad de donar el dinero a organizaciones de caridad. En estos casos, Google duplicará la donación. Además aclara que cualquier recompensa por fallo reportado que no se reclame pasados los 12 meses será donado a una organización de caridad elegida por Google.

Para más información sobre las reglas y cómo participar, lee los lineamientos del Google Open Source Software Vulnerability Reward Program.

Fuentes:
https://www.welivesecurity.com/la-es/2022/09/01/google-pago-recompensa-vulnerabilidades-proyectos-open-source/

https://blog.desdelinux.net/google-confirma-su-compromiso-con-el-open-source-y-lanza-otro-programa-de-recompensas-para-la-busqueda-de-errores/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.