Bên cạnh việc bỏ tiền túi để thưởng cho các hacker mũ trắng báo cáo các lỗ hổng trong các dự án nguồn mở của các bên thứ ba, vào ngày 18 tháng 12 vừa qua, Google đã công bố hỗ trợ tài chính trực tiếp cho các nhà phát triển dự án nguồn mở để giúp họ sắp xếp các tài nguyên bổ sung nhằm ưu tiên bảo mật sản phẩm.
Patch Rewards Program
Ban đầu, chương trình “Patch Rewards Program” đã được khởi chạy từ 6 năm trước và tập trung vào việc trao thưởng cho các hacker mũ trắng đã báo cáo các lỗ hổng nghiêm trọng trong nhiều phần mềm open-source phổ biến, bao gồm OpenSSH, OpenSSL, nhân Linux, Apache, Nginx, jQuery và OpenVPN.
Cho đến nay, Google đã trả hàng trăm ngàn đô la tiền thưởng cho các hacker mũ trắng trên toàn thế giới, những người đã giúp cải thiện tổng thể bảo mật của nhiều phần mềm và công nghệ nguồn mở quan trọng khiến cho Internet, hệ điều hành và mạng trở nên hiệu quả hơn.
Google cung cấp hỗ trợ tài chính cho các dự án nguồn mở
Mới đây, Google đã quyết định thúc đẩy cộng đồng open-source tạo ra nhiều giá trị hữu ích hơn bằng cách cung cấp hỗ trợ tài chính cho các nhóm dự án để họ có thể gia tăng năng lực phát triển. Các gói hỗ trợ cho nhà phát triển có giá trị từ 5,000$ cho các nhóm nhỏ tới 30,000$ cho các nhóm lớn hơn.
Trong một bài đăng trên blog vào ngày 18 tháng 12, Google đã mô tả rằng, các nhóm nhỏ có thể sử dụng số tiền trên làm tiền thưởng (dưới dạng bug bounty) cho các hacker mũ trắng báo cáo các lỗ hổng bảo mật cho dự án open-source. Trong khi đó, các nhóm nguồn mở lớn nên sử dụng số tiền này để đầu tư một cách nghiêm túc vào bảo mật, ví dụ như thuê thêm developers hoặc triển khai các giải pháp bảo mật mới hiệu quả hơn.
>> Tham khảo bài viết: Giải pháp bảo mật Bug Bounty là gì? Có hiệu quả không?
Nếu bạn đang chạy bất kỳ dự án nguồn mở nào hoặc muốn hỗ trợ bất kỳ dự án nguồn mở nào khác, bạn có thể đề nghị xin hỗ trợ từ Google bằng cách điền vào form sau https://goo.gle/patchz-nomination
“Bất kỳ dự án nguồn mở nào cũng có thể được nộp đơn xin hỗ trợ. Khi lựa chọn các dự án, ban hội thẩm sẽ tập trung vào các dự án quan trọng đối với Internet hoặc là các dự án end-user có lượng người dùng lớn”, Google nói. “Ban hội thẩm Patch Rewards của chúng tôi sẽ xem xét các đề cử hàng tháng và chọn một số dự án đáp ứng các tiêu chí của chương trình.”
Bạn có thể tìm thêm chi tiết về Patch Rewards Program tại đây, bao gồm danh sách các dự án, loại lỗ hổng được chấp nhận và phần thưởng cho các báo cáo đủ điều kiện (dao động từ 500 đến 20.000 đô la).
Nguồn: https://thehackernews.com/2019/12/google-open-source-projects.html