Google pagará a partir de ahora a investigadores de seguridad que encuentren e informen de fallos en las últimas versiones del software de código abierto de Google (Google OSS). Esto se hará a través del Programa de Recompensa de Vulnerabilidades (VRP por sus siglas en inglés Vulnerability Reward Program) que la empresa ha anunciado.

Este programa se centra en el software de Google y en la configuración de los repositorios. Por ejemplo, en el software disponible en los repositorios públicos en GitHub que sean propiedad de Google, así como en algunos repositorios de otras plataformas.

Eso sí, para conseguir el dinero del pago que la de Mountain View ofrece, los informes de errores tendrán que enviarse primero a los propietarios de los paquetes vulnerables, para que los problemas se aborden por ellos mismos, antes de informar a Google de los hallazgos.

"Los premios más importantes se destinarán a las vulnerabilidades encontradas en los proyectos más sensibles: Bazel, Angular, Golang, Protocol buffers y Fuchsia", dijo hoy Google.

Importancia de los fallos en la cadena de suministro

El punto central del Programa de Recompensa de Vulnerabilidades de Google OSS son los fallos de seguridad que tendrían un impacto más significativo en la cadena de suministro de software.

Por ello, específicamente, la empresa anima a los investigadores a centrarse en las vulnerabilidades que podrían comprometer la cadena de suministro, los problemas de diseño que causan vulnerabilidades en los productos y los problemas de seguridad como la filtración de credenciales, las …