Google har lanserat ett nytt utvecklingsprogram riktat mot Tsunami Security Scanner.
Den 28 september sa Guoli Ma, Sebastian Lekies och Claudio Criscione, medlemmar i Googles team för sårbarhetshantering, i ett blogginlägg att det nya programmet är utformat för att förbättra Tsunamis säkerhetsdetekteringsfunktioner.
Tsunami Security Scanner , open sourced i juli 2020, var ursprungligen ett internt Google -verktyg och har sedan dess publicerats och gjorts tillgängligt för allmänheten.
Skannern är utformad för att kontrollera storskaliga företagsnätverk efter öppna portar och sedan för att kolla sårbarhetsexponeringen baserat på de första spaningsresultaten. Plugins kan implementeras av användare för att leta efter specifika säkerhetsbrister. Tsunami kan också kontrollera grundläggande säkerhetsfrågor, inklusive användning av svaga företagsuppgifter.
Google säger att det nya, experimentella programmet kommer att ge forskare patchbelöningar för att skapa plugins och applikationsfingeravtryck. Den förstnämnda kräver att bidragsgivare utvecklar plugins som kan användas för förbättrad upptäckt av sårbarhet, medan den senare ber om webbapplikationsmoduler som kan användas för att upptäcka webbappar i ett företagsnätverk.
Företaget är mest intresserat av buggar av hög och kritisk allvar som kan ha en verklig inverkan på företagets säkerhet.
“Sårbarheten bör ha en hög eller kritisk allvarlighetsgrad om det redan är tilldelat ett CVE -ID (CVSS -poäng & gt; = 7.0)”, säger Google. “Om det inte finns någon svårighetsgrad ännu, kommer Tsunami -skannerteamet att utföra triagen och bestämma svårighetsgraden. Detta inkluderar vanligtvis sårbarheter som Remote Code Executions (RCE), godtycklig filöverföring, säkerhetsfelkonfigurationer som resulterar i exponering av känsliga adminpaneler, och så vidare.”
Teknikjätten säger att Tsunami också behöver mer fingeravtrycksdata för populära webbappar som kan innehålla buggar som påverkar säkerheten i ett bredare nätverk. Om IT -team inte inser att de är närvarande kan det innebära att de förbises i patchprocesser.
Bidrag övervakas av Googles team för sårbarhetshantering.
I juli meddelade Google en ny bug bounty -plattform, https://bughunters.google.com. Resurscentret sammanför företagets alla program för sårbarhetsbelöningar (VRP), inklusive Google, Android, Abuse, Chrome och Play för att effektivisera processen för avslöjande av sårbarhet.
Det är på denna plattform som de som är intresserade av Tsunamiprogrammet kan hitta omfattande listor för bidrag till verktyg för öppen källkod och tsunami.
Ekonomiska belöningar varierar. För fingeravtryck för webbapplikationer är Google villig att betala en fast avgift på $ 500 för varje fingeravtryck som läggs till i Tsunamis databas. När det gäller plugins erbjuds upp till 3 133 dollar, beroende på svårighetsgraden av en sårbarhet och huruvida den dyker upp eller inte.
. Tidigare och relaterad täckning
HackerOne utökar projektet Internet Bug Bounty för att hantera buggar med öppen källkod
Google tillkännager en ny bug bounty -plattform
The Graph Foundation lanserar bug bounty -program
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 