Google pagará hasta más de US$31.000 a quienes encuentren fallos en su software de código abierto

Google ha lanzado su nuevo Programa de Recompensa de Vulnerabilidades para su software de código abierto. La empresa pagará hasta más de US$31.000 como incentivo a quienes encuentren fallos en su ecosistema y los reporten.

“Hoy lanzamos el Programa de Recompensas por Vulnerabilidades de Software de Código Abierto (OSS VRP) para recompensar los descubrimientos de vulnerabilidades en los proyectos de código abierto de Google. Como responsable de proyectos importantes como Golang, Angular y Fuchsia, Google se encuentra entre los mayores contribuyentes y usuarios de código abierto del mundo. Con la incorporación del OSS VRP de Google a nuestra familia de Programas de Recompensa de Vulnerabilidad (VRP), los investigadores ahora pueden ser recompensados por encontrar errores que podrían afectar potencialmente a todo el ecosistema de código abierto”, indican Francis Perron, gerente del programa técnico de seguridad de código abierto, y Krzysztof Kotowicz, ingeniero de seguridad de la información, en un comunicado de Google.

MIRA: Google: así podrás conversar con LaMDA, la IA que supuestamente tiene emociones

Los montos de las recompensas llegan hasta los más de US$31.000. “Según la gravedad de la vulnerabilidad y la importancia del proyecto, las recompensas oscilarán entre US$100 y US$31.337. Las cantidades más grandes también se destinarán a vulnerabilidades inusuales o particularmente interesantes, por lo que se fomenta la creatividad”, aseveran.

El programa general de VRP de Google tiene ya más de una década con recompensando a quienes encuentren fallos. “Google se ha comprometido a apoyar a los investigadores de seguridad y a los cazadores de errores durante más de una década. El programa VRP original, establecido para compensar y agradecer a quienes ayudan a que el código de Google sea más seguro, fue uno de los primeros en el mundo y ahora se acerca a su 12º aniversario”, añaden.

Este ha premiado a lo largo de estos años con millones de dólares. “Con el tiempo, nuestra línea de VRP se ha ampliado para incluir programas enfocados en Chrome, Android y otras áreas. En conjunto, estos programas han recompensado más de 13.000 reportes, con un total pagado de más de US$38 millones”, agregan.

MIRA: Google Maps: así puedes “viajar en el tiempo” y ver cómo lucían los lugares hace años

El programa enfocado en el software de código abierto fue impulsado por ataques dirigidos en 2021. “La adición de este nuevo programa aborda la realidad cada vez más frecuente de los crecientes compromisos de la cadena de suministro. El año pasado se registró un aumento interanual del 650% en los ataques dirigidos a la cadena de suministro de código abierto, incluidos incidentes destacados como Codecov y la vulnerabilidad Log4j que mostró el potencial destructivo de una sola vulnerabilidad de código abierto”, señalan.

Por ello, invertiran una gran cantidad de dinero para garantizar seguridad de estos. “El OSS VRP de Google es parte de nuestro compromiso de US$10 mil millones para mejorar la seguridad cibernética, incluida la protección de la cadena de suministro contra este tipo de ataques, tanto para los usuarios de Google como para los consumidores de código abierto en todo el mundo”, afirman.