banner edicion impresa

Monitor Software


Paga recompensas a quienes descubran errores en su software

Paga recompensas a quienes descubran errores en su software
Abre bien los ojos, porque Google podría premiarte.

Publicación:02-09-2022
++--

El gigante tecnológico tiene un objetivo en mente: encontrar la perfección, o al menos aproximarse a ella, en su software de código abierto.

Por ello, premiará a quienes encuentren errores en él y le ayuden con ello a pulirlo internamente.

Este proceso colaborativo tiene lugar gracias a un novedoso programa de pagos de recompensas, llamado Programa de Recompensas por Vulnerabilidades en el Software de Código Abierto, conocido en inglés por las siglas OSS VRP. Es la última de las opciones añadidas a los VRP existentes de Google, y que ofrece dinero por estos descubrimientos. Cabe recordar que el VRP que ayudó a asegurar el código de Google fue uno de los primeros del mundo.

Con este nuevo programa, Google quiere afianzar su compromiso de apoyar a los investigadores de seguridad y a los conocidos como “cazadores de errores”. De hecho, la compañía destaca que los VRP que cubren códigos abiertos de Android y Chrome han pagado ya la friolera de 38 millones de dólares a más de 13.000 contribuciones en casi un centenar de países en todo el mundo.

La importancia de aumentar la ciberseguridad entre sus usuarios y consumidores de software de código abierto ha llevado a Google a invertir 10.000 millones de dólares en ello. Entre los incidentes más importantes que ha sufrido la tecnológica, y que quiere evitar, se encuentran Log4j y Code, que aumentaron un 650% los ataques dirigidos a la cadena de suministro de OSS.

Cómo recibir las recompensas de Google

En este sentido, el VRP de OSS trabaja sobre todas las versiones almacenadas en los espacios de organización de GitHub -que es propiedad de Google-, como GoogleAPIs y GoogleCloudPlatform. Aunque eso sí, las recompensas más importantes se centran en detectar errores en proyectos más propensos a ataques. Como Fuchsia, Golang, Protocol buffers, Angular y Bazel, entre otros.

Google premiará a las personas que encuentren vulnerabilidades que lleven a comprometer la cadena de suministro. También por descubrir ciertos problemas de diseño que puedan causar vulnerabilidades en los productos; así como por localizar credenciales sensibles o filtradas, contraseñas demasiado débiles o instalaciones inseguras.

Las cantidades son muy variadas y siempre dependerán de lo que encuentren los cazarrecompensas. A mayor vulnerabilidad, mayor será la cuantía de la recompensa. Estas siempre estarán en una horquilla de entre los 100 y los 31.000 dólares. Al menos a juzgar por los datos de los pagos realizados hasta el momento.

Siempre que un investigador notifique un error, Google estudiará si dicha vulnerabilidad existe o no realmente en su software de código abierto. De ser así, la compartirá pasados un mínimo de 30 días después de que la corrección esté disponible.



« Especial »