:format(jpeg)/www.elespectador.com/resizer/M7OCzsFFy90bi9KTuQ-0s73CGog=/arc-anglerfish-arc2-prod-elespectador/public/OYOBCHBBBQ4AK5FMCP7KEWTF4I.jpg)
La gigante tecnológica Google está en búsqueda de personas que le ayuden a encontrar fallas en sus proyectos de open source (de código abierto). Esta semana anunció el lanzamiento de su programa Vulnerability Reward Program (VRP), con el que promete recompensar a quienes brinden reportes.
“El VRP comprende todas las últimas versiones de software de código abierto que estén disponibles en repositorios públicos en cuentas de organización de GitHub propiedad de Google, así como algunos otros repositorios seleccionados que están alojados en otras plataformas. Asimismo, el programa también contempla el reporte de vulnerabilidades en dependencias de terceras partes”, detalló la firma de seguridad informática ESET.
Lea también: Aproveche al máximo el Traductor de Google
Parte del protocolo de reporte implica que primero se reporte el fallo al desarrollador del paquete vulnerable, y asegurarse de que el fallo está corregido antes de comunicarlo. El programa de recompensas premia en mayor medida a quienes encuentren fallas en en proyectos señalados como importantes, como lo son Golang, Angular, Bazel, Protocol buffers o Fuchsia.
“Con respecto al pago por vulnerabilidad reportada, los montos más elevados son para fallos que puedan tener impacto en posibles ataques de cadena de suministro, como pueden ser código fuente, distribución de paquetes, etc. Y un escalón más abajo las vulnerabilidades en productos. Por otra parte, además de estas dos categorías el programa establece una diferencia entre los proyectos señalados como importantes y los proyectos open source estándar”, precisó ESET.
Es así como las recompensa pueden ir desde los US$3.133 y llegar hasta los US$31.337 para los fallos encontrados en la cadena de suministro que hagan parte de proyectos catalogados como importantes. Si, por el contrario, el fallo afecta a un proyecto estándar, las recompensas van desde los US$1.337 y pueden llegar hasta los US$13.337.
Le puede interesar: YouTube y Spotify tendrán sesiones colaborativas en Google Meet, en tiempo real
También se recompensará hallazgos de vulnerabilidades que afecten a productos, es decir, fallos que involucren confidencialidad e integridad de los datos de las personas. Por ejemplo, vulnerabilidades del tipo path traversal, de corrupción de memoria, por nombrar algunas. En estos casos las recompensas van desde los US$500 hasta los US$7.500 si involucran a algunos de los proyectos importantes, mientras que si afectan a productos estándar los pagos podrán ser desde los US$101 hasta los US$3.133 dólares.
“El programa establece una categoría aparte para fallos de seguridad que no entren en las anteriores, como son fallos relacionados a contraseñas débiles en sistemas de terceros, filtración de credenciales en backups almacenados de forma pública, o instalaciones inseguras. En estos casos las recompensan son de US$1.000 si afectan a los proyectos importantes y US$500 si afectan a proyectos estándar”, precisó ESET.
También se puede presentar el caso de que las personas no estén interesadas del pago con dinero, por lo que también ofrece la alternativa de donar estos a organizaciones de caridad. Si ese es el caso, la compañía tecnológica se compromete a duplicar la cantidad monetaria. Si una persona no reclama su recompensa en un plazo de 12 meses, el dinero será donado a una organización de caridad elegida por Google.
Si desea obtener más información sobre este programa, puede acceder al siguiente link.
💰📈💱 ¿Ya te enteraste de las últimas noticias económicas? Te invitamos a verlas en El Espectador.