Google rất hào phóng trong việc trả thưởng cho các nhà nghiên cứu bảo mật tìm ra lỗi và lỗ hổng bảo mật trong các sản phẩm của họ. Với Google, sẽ tốt hơn nhiều nếu bạn chi tiền cho việc giảm thiểu các vấn đề bảo mật so với việc khắc phục chúng sau khi bị hacker tấn công.
Mới đây, Google đã mở rộng chương trình săn lỗi nhận thưởng (Vulnerability Rewards Program - VRP) để bao gồm cả các dự án mã nguồn mở của họ. Giờ đây, nhà nghiên cứu, hacker mũ trắng có thể gửi lỗi và lỗ hổng bảo mật ảnh hưởng tới hệ sinh thái mã nguồn mở của Google mà họ phát hiện ra. Nếu xác minh lỗ hổng là đúng, Google sẽ thưởng cho nhà nghiên cứu số tiền tương ứng.
Google cho biết họ bắt đầu chương trình này do tội phạm mạng ngày càng gia tăng việc sử dụng phần mềm mã nguồn mở làm phương thức tấn công các doanh nghiệp. Google trích dẫn một nghiên cứu cho thấy các cuộc tấn công nhắm vào chuỗi cung ứng nguồn mở trong năm 2021 tăng 650% so với năm 2020.
Để đảm bảo Google ít bị tấn công hơn, các dự án mã nguồn mở giờ đây sẽ trở thành một phần của chương trình VRP.
Mức thưởng cao nhất sẽ được trả cho lỗ hổng trong các dự án nhạy cảm nhất và cao cấp nhất của Google, bao gồm Fuchsia, hệ điều hành mới đang chạy trên các thiết bị màn hình thông minh. Phần thưởng sẽ nằm trong khoảng từ 100 USD đến 31.337 USD tùy theo mức độ nghiêm trọng của cuộc tấn công có thể xảy ra.
Nếu muốn tham gia trợ giúp Google, bạn cần nắm rõ các quy tắc được đăng tải trên trang Bug Hunters của công ty. Tại đó, Google niêm yết các chi tiết kỹ thuật về các lỗ hổng đủ điều kiện nhận thưởng.
VRP là một phần không thể thiếu trong nỗ lực bảo mật của Google. Những năm qua, Google đã liên tục tăng tổng số tiền mà họ thưởng cho các nhà nghiên cứu và trong năm 2021 số tiền thưởng đã được chi trả lên tới 8,7 triệu USD.