Google har lanceret et nyt udviklingsprogram rettet mod Tsunami Security Scanner.
Den 28. september sagde Guoli Ma, Sebastian Lekies og Claudio Criscione, medlemmer af Googles sårbarhedsstyringsteam, i et blogindlæg, at det nye program er designet til at forbedre Tsunamis sikkerhedsdetekteringsmuligheder.
Tsunami Security Scanner , open source i juli 2020, var oprindeligt et internt Google -værktøj og er siden blevet offentliggjort og gjort tilgængeligt for offentligheden.
Scanneren er designet til at kontrollere store virksomhedsnetværk for åbne porte og derefter krydstjekke udsættelse for sårbarhed baseret på de første rekognoseringsresultater. Plugins kan implementeres af brugerne for at kontrollere, om der er specifikke sikkerhedsfejl. Tsunami kan også kontrollere grundlæggende sikkerhedsproblemer, herunder brug af svage virksomhedsoplysninger.
Google siger, at det nye, eksperimentelle program vil give forskere patch -belønninger for at oprette plugins og applikationsfingeraftryk. Førstnævnte kræver, at bidragsydere udvikler plugins, der kan bruges til forbedret detektering af sårbarhed, hvorimod sidstnævnte beder om webapplikationsmoduler, der kan bruges til at opdage off-the-shelf web-apps i et virksomhedsnetværk.
Virksomheden er mest interesseret i fejl med høj og kritisk sværhedsgrad, der kan have virkelige virkninger for virksomhedens sikkerhed.
“Sårbarheden bør have en høj eller kritisk sværhedsgrad, hvis der allerede er tildelt et CVE -id (CVSS -score & gt; = 7.0),” siger Google. “Hvis der endnu ikke er tildelt en sværhedsgrad, vil Tsunami -scannerteamet udføre triagen og bestemme sværhedsgraden. Dette inkluderer normalt sårbarheder som Remote Code Executions (RCE'er), vilkårlig filoverførsel, fejlkonfigurationer i sikkerhed, der resulterer i eksponering af følsomme adminpaneler, og så videre.”
Teknologigiganten siger, at Tsunami også har brug for flere fingeraftryksdata til populære webapps, der kan indeholde fejl, der påvirker sikkerheden i et bredere netværk. Hvis it -teams ikke er klar over, at de er til stede, kan det betyde, at de bliver overset i patchprocesser.
Bidrag overvåges af Googles team til sårbarhedsstyring.
I juli annoncerede Google en ny bug bounty -platform, https://bughunters.google.com. Ressourcecentret samler alle virksomhedens sårbarhedsbelønningsprogrammer (VRP'er), herunder Google, Android, Abuse, Chrome og Play for at effektivisere sårbarhedsoplysningsprocessen.
Det er på denne platform, at interesserede i Tsunami-programmet kan finde in-scope-listerne for bidrag til open source-værktøjer og Tsunami.
Økonomiske belønninger varierer. For webapplikations fingeraftryk er Google villig til at betale et fast gebyr på $ 500 for hvert fingeraftryk, der tilføjes til Tsunamis database. Når det kommer til plugins, tilbydes op til $ 3,133, afhængigt af sværhedsgraden af en sårbarhed, og om det er fremtrædende eller ej.
. Forrige og relateret dækning
HackerOne udvider Internet Bug Bounty -projektet at tackle open source -fejl – Google annoncerer ny bug -bounty -platform
Graph Foundation lancerer bug -bounty -program
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 