قدمت Google برنامجًا جديدًا لمكافآت الثغرات الأمنية لدفع أموال للباحثين الذين يجدون ثغرات أمنية في برامجه مفتوحة المصدر أو في اللبنات الأساسية التي بنيت عليها برامجه. ستدفع في أي مكان من 101 دولارًا إلى 31337 دولارًا للحصول على معلومات حول الأخطاء في مشاريع مثل Angular و GoLang و Fuchsia أو عن نقاط الضعف في تبعيات الطرف الثالث المضمنة في قواعد الرموز الخاصة بهذه المشاريع.
في حين أنه من المهم بالنسبة لـ Google إصلاح الأخطاء في مشاريعها الخاصة (وفي البرنامج الذي تستخدمه لتتبع التغييرات التي تطرأ على التعليمات البرمجية الخاصة بها ، والتي يغطيها البرنامج أيضًا) ، ربما يكون الجزء الأكثر إثارة للاهتمام هو الجزء المتعلق بتبعية الطرف الثالث. غالبًا ما يستخدم المبرمجون كودًا من مشاريع مفتوحة المصدر حتى لا يضطروا باستمرار إلى إعادة اختراع نفس العجلة. ولكن نظرًا لأن المطورين غالبًا ما يستوردون هذا الرمز مباشرةً ، بالإضافة إلى أي تحديثات له ، فإن ذلك يقدم إمكانية حدوث هجمات على سلسلة التوريد. هذا عندما لا يستهدف المتسللون الكود الذي تتحكم فيه Google نفسها مباشرة …
