米Googleは、自社で開発しているオープンソースプロジェクトを対象とした脆弱性報奨金プログラム「Open Source Software Vulnerability Rewards Program(OSS VRP)」を8月30日(現地時間)に開始した。
Googleはこれまでにも自社のWebサービスやChromeブラウザ、Androidなどを対象とした脆弱性報奨金プログラムを展開してきたが、今回のプログラムはGoogleがGitHubなどの公開レポジトリで提供しているオープンソースプロジェクトを対象にしたものだ。
今回のプログラムの狙いは、2021年末に発覚した「Apache Log4j」の重大の脆弱性のように、オープンソースソフトウェアのサプライチェーンに依存する多様なシステムに大規模な被害をもたらすような事態を避けることにある。
Googleはとりわけ、「Bazel」「Angular」「Golang」「Protocol buffers」「Fuchsia」の5プロジェクトには重点を置いており、これらのプロジェクトで脆弱性を発見した開発者には報奨金を多めに支払うとしている。また今回のプログラムでは、Googleのオープンソースプロジェクトが依存しているサードパーティーが開発したコードも報奨の対象としている。そして、リポジトリの設定を原因とする脆弱性も報奨の対象となっている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
