Cyberthreat.id – Google secara resmi memperkenalkan program bug bounty baru untuk memberi penghargaan kepada peneliti keamanan yang menemukan dan melaporkan kerentanan dalam proyek open source perusahaan.

Dikutip dari Security Week, sebagai bagian dari Open Source Software Vulnerability Rewards Program (OSS VRP) yang baru, Google menawarkan pembayaran hadiah bug hingga $31.337 atau senilai Rp 465,5 juta. Sementara itu, untuk hadiah kerentanan terendah adalah $100 atau senilai Rp 1,4 juta.

“Peningkatan bonus kecil bisa sekitar $1.000, dan dapat diberikan untuk “kerentanan yang sangat pintar atau menarik,” kata Google.

Seperti diketahui, Google telah menjalankan VRP-nya selama hampir 12 tahun dan telah mengembangkannya tepat waktu, untuk mencakup Android, Chrome, kernel Linux, dan area lainnya. Sampai saat ini, perusahaan telah membayar lebih dari $38 juta hadiah bug bounty kepada peneliti pelaporan.

Berfokus pada perangkat lunak sumber terbuka, program baru ini dimaksudkan untuk mengatasi risiko yang terkait dengan kompromi rantai pasokan.

“Tahun lalu terjadi peningkatan 650% dari tahun ke tahun dalam serangan yang menargetkan rantai pasokan open source, termasuk insiden headliner seperti Codecov dan Log4Shell yang menunjukkan potensi destruktif dari satu kerentanan open source,” catat Google.

Raksasa internet ini menganggap semua perangkat lunak terkini yang tersedia di repositori publik organisasi GitHub milik Google berada dalam lingkup OSS VRP. Dependensi pihak ketiga dari proyek ini juga disertakan, tetapi peneliti harus mengirimkan pemberitahuan sebelumnya ke dependensi.

“Silakan kirim laporan bug langsung ke pemilik paket yang rentan terlebih dahulu dan pastikan bahwa masalah telah diatasi sebelum memberi tahu kami tentang detail masalah,” perusahaan menjelaskan di halaman OSS VRP.

Proyek dalam lingkup dikelompokkan menjadi tiga tingkatan, dengan penghargaan untuk kerentanan dalam proyek OSS unggulan – yang dianggap sangat sensitif – menjadi jauh lebih tinggi. Pembayaran teratas akan ditawarkan untuk kekurangan di Bazel, Angular, Golang, Protocol buffer, dan Fuchsia.

Raksasa internet ini mendorong para peneliti untuk fokus pada kerentanan yang mengarah pada kompromi rantai pasokan, pada masalah desain yang menyebabkan kelemahan produk, dan pada masalah keamanan seperti kebocoran kredensial, kata sandi yang lemah, dan instalasi yang tidak aman.