Zarábať veľké peniaze nemusíte len ako programátor. Paradoxne to môžete aj skúsiť opačne – hľadať chyby v softvéri. Pomôže vám Google a jeho nový program odmeňovania za odhalenú zraniteľnosť softvéru s otvoreným kódom.
Vulnerability Reward Program (VRP) sa zameriava na nastavenia softvéru a úložiska Google (napríklad GitHub, konfigurácie aplikácií či pravidlá riadenia prístupu).
Program sa týka bezpečnostných zraniteľností v závislostiach tretích strán Google OSS (Google-released open-source software) s podmienkou, že hlásenia o chybách sa najskôr odošlú vlastníkom zraniteľných balíkov, takže problémy sa riešia pred informovaním spoločnosti Google o zisteniach.
Najlepšie odmeny získajú zraniteľnosti nájdené v najcitlivejších projektoch: Bazel, Angular, Golang, Protocol buffers a Fuchsia.
Google si bude najviac ceniť bezpečnostné chyby, ktoré by mohli mať veľmi významný vplyv na dodávateľský reťazec softvéru. Tie sa môžu vyskytnúť v chybovom dizajne, v povereniach, slabých heslách, či dokonca nezabezpečených inštaláciách.
Rozmýšľate, aké vysoké môže byť odmeny? Začínajú na 100 dolároch, vyšplhať sa môžu až na 31 337 dolárov. Čím väčšia a nebezpečnejšia chyba, tým je, prirodzene, vyššia odmena.
| Kategória | Vlajkové projekty OSS | Bežné projekty OSS |
| Kompromisy dodávateľského reťazca | 3 133,7 až 31 337 $ | 1 337 až 13 337 $ |
| Zraniteľnosť produktu | 500 až 7 500 $ | 101 až 3 133,7 $ |
| Ďalšie bezpečnostné zraniteľnosti | 1 000 $ | 500 $ |
Komu sa zdá finančné ohodnotenie prislabé, tešiť ho mlže ah verejné uznanie. Google píše vo svojom blogu: „Okrem odmeny môžete za svoj príspevok získať verejné uznanie. Môžete sa tiež rozhodnúť venovať svoju odmenu na charitu v dvojnásobku pôvodnej sumy.“
Skôr, ak sa vrhnete do hľadania chýb, určite si naštudujte pravidlá programu. Google sľubuje, že ak najete niečo nezvyčajné, určite vás oslovia a nadviažu s vami spoluprácu.
Pripomíname, že Google svoj prvý VPR program spustil ešte v roku 2010, odvtedy spoločnosť vyplatila 29 357 516 dolárov 2 022 výskumníkom z 84 krajín sveta. Tí našli spolu až 11 055 chýb. Minulý rok bol rekordný, keď Google vyplatili zhruba 8,7 miliónov dolárov.
Najväčší „jackpot“ v sume 157 000 dolárov bol vyplatený za reťazec exploitov pre Android, čo je najviac v histórii Android VRP. Exploit je špeciálny program, dáta resp. sekvencia príkazov, ktoré využívajú programátorskú chybu, ktorá spôsobí pôvodne nezámernú činnosť softvéru a umožňuje tak získať nelegálny prospech.