Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Google avvia la caccia ai bug sul software opensource tramite il Vulnerability Reward Program (VRP)

Google avvia la caccia ai bug sul software opensource tramite il Vulnerability Reward Program (VRP)

8 Settembre 2022 08:00

Google ora pagherà i ricercatori di sicurezza per trovare e segnalare bug sulle ultime versioni del software open source rilasciato da Google (software open source, Google OSS).

Il Vulnerability Reward Program (VRP) lanciato di recente si concentra sul software Google e sulle impostazioni del repository GitHub, le configurazioni delle applicazioni e le regole di controllo degli accessi. VRP si riferisce al software nei repository GitHub pubblici di Google, nonché ad alcuni repository di altre piattaforme.

Le vulnerabilità nelle dipendenze di terze parti di Google OSS sono incluse nel programma VRP a condizione che le segnalazioni di bug vengano prima inviate ai proprietari di pacchetti vulnerabili, quindi i problemi devono essere risolti prima di informare Google dei risultati.

Secondo Google, i migliori premi verranno assegnati per i difetti nei progetti più vulnerabili: Bazel, Angular, Golang, Protocol buffers e Fuchsia.

L’obiettivo di Google OSS VRP sono i bug di sicurezza che possono avere l’impatto più significativo sulla catena di fornitura del software. Pertanto, l’azienda incoraggia i cacciatori di bug a concentrarsi sulle vulnerabilità che possono portare a:

  • Compromissioni della catena di approvvigionamento;
  • Problemi di progettazione che causano vulnerabilità del prodotto;
  • Perdita di dati;
  • Password compromesse;
  • Configurazioni non sicure.
Taglie del programma di Google

A seconda del livello di gravità delle carenze identificate e dell’importanza del progetto, la ricompensa finale varia da 100 a 31.337 dollari. Oltre al premio, uno specialista può ricevere un riconoscimento pubblico per il suo contributo. Google si offre anche di donare la sua taglia in beneficenza per il doppio dell’importo originale.

Ricordiamo che per 1 anno durante i programmi Bug Bounty, Microsoft ha pagato 13,7 milioni di dollari a 335 specialisti che hanno rilevato bug sui suoi prodotti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks

Articoli in evidenza

Immagine del sitoInnovazione
Il “Reddit per AI” progetta la fine dell’umanità e crea una Religione. Ecco la verità su Moltbook
Carolina Vivianti - 03/02/2026

L’evoluzione delle piattaforme digitali ha raggiunto un punto di rottura dove la presenza umana non è più richiesta per alimentare il dibattito. Moltbook emerge come un esperimento sociale senza precedenti, un ecosistema dove milioni di…

Immagine del sitoCybercrime
Initial Access Broker (IaB): Sempre più una comodity nei mercati underground
Luca Stivali - 03/02/2026

Nel mondo dell’underground criminale, il lavoro si divide tra “professionisti”. C’è chi sviluppa ed esercisce il ransomware, c’è chi vende un accesso iniziale alle aziende e c’è chi sfrutta l’accesso iniziale per condurre attacchi informatici…

Immagine del sitoCybercrime
Microsoft Office sotto attacco: il bug da patchare per evitare spionaggio russo
Bajram Zeqiri - 03/02/2026

Negli ultimi giorni, APT28, noto gruppo di hacker legato alla Russia, ha intensificato gli attacchi sfruttando una vulnerabilità di Microsoft Office. La falla, catalogata come CVE‑2026‑21509, è stata resa pubblica da Microsoft pochi giorni prima…

Immagine del sitoDiritti
La governance dei flussi di dati tra Direttiva NIS 2 e responsabilità penale omissiva
Paolo Galdieri - 03/02/2026

Dopo aver analizzato nei precedenti contributi il perimetro dei reati informatici e i rischi legati alle manovre di difesa attiva, è necessario compiere un ultimo passo verso la comprensione della cybersecurity moderna ovvero il passaggio…

Immagine del sitoCyber Italia
Formazione avanzata in OSINT: la Polizia Postale rafforza le indagini nel cyberspazio
Massimiliano Brolli - 03/02/2026

Si è concluso la scora settimana, presso la Scuola Allievi Agenti della Polizia di Stato di Vibo Valentia, il corso di formazione specialistica in OSINT – Open Source Intelligence, rivolto agli operatori della Polizia Postale.…