O Google lançou hoje um novo programa de recompensas por bugs para recompensar pesquisadores de segurança que descobrem e relatam vulnerabilidades nos projetos de código aberto da empresa.

Como parte do novo Open Source Software Vulnerability Rewards Program (OSS VRP), o Google está oferecendo recompensas por bugs de até US$ 31.337. A recompensa de vulnerabilidade mais baixa será de US$ 100.

Focado em software de código aberto, o novo programa destina-se a abordar os riscos associados ao comprometimento da cadeia de suprimentos. “No ano passado, houve um aumento de 650% ano a ano nos ataques direcionados à cadeia de suprimentos de código aberto, incluindo incidentes de destaque como Codecov e Log4Shell, que mostraram o potencial destrutivo de uma única vulnerabilidade de código aberto”, observa o Google.

Os projetos dentro do escopo são agrupados em três níveis, com recompensas por vulnerabilidades em projetos OSS emblemáticos – que são considerados particularmente sensíveis – sendo significativamente maiores.

Os principais pagamentos serão oferecidos por falhas em Bazel, Angular, Golang, buffers de protocolo e Fuchsia.