Google recompensará el descubrimiento de vulnerabilidades en proyectos críticos de código abierto

Google participará en el programa Secure Open Source (SOS) de la Fundación Linux con un patrocinio de 1 millón de dólares para recompensar el descubrimiento de vulnerabilidades.

El objetivo final es reforzar la seguridad de proyectos de código abierto que son críticos, incluyendo mejoras en la cadena de suministro de software.

La menor cantidad pensada para premiar los esfuerzos de los investigadores son 505 dólares, un pago previsto para pequeñas mejoras. De ahí se subirá a 1000-5000 dólares para las de complejidad e impacto modestos, a los 5000-10 000 dólares para las que suban un peldaño en dificultad y a los 10 000 dólares o más si son mejoras complicadas que previenen fallos importantes, de gran impacto y duraderas.

“Dado que no existe una definición única de lo que hace que un proyecto de código abierto sea crítico, nuestro proceso de selección será holístico”, explican desde Google.

Durante la evaluación del problema y su remediación se tendrán en cuenta pautas del Instituto Nacional de Estándares y Tecnología y otros criterios como el propio impacto del proyecto.

Aunque Google comenzará con una partida de 1 millón de dólares no descarta expandir el alcance de su programa. “Esta inversión de 1 millón de dólares es sólo el comienzo“, afirma: “visualizamos el programa piloto SOS como el punto de partida para esfuerzos futuros que, con suerte, unirán a otras grandes organizaciones y la convertirán en una iniciativa sostenible a largo plazo bajo la OpenSSF”.