O Google está ampliando seu esquema de recompensas aos pesquisadores que encontram falhas de segurança ou erros de programação em seus projetos. A partir desta quarta-feira (31), o Vulnerability Rewards Program (VRP) passará a abranger todo o seu ecossistema de software de código aberto, pagando até US$ 31 mil pelas brechas mais graves.

Isso significa que a big tech irá beneficiar os profissionais especializados no ramo do software que descobrirem vulnerabilidades em qualquer mecanismo de código aberto, incluindo todo o software armazenado em repositórios públicos de organizações no GitHub e outras plataformas em que são hospedadas as codificações do Google OSS.

O VRP também irá cobrir falhas de segurança em dependências de terceiros no ecossistema, ou seja, ferramentas desenvolvidas em parceria com outras empresas e que não pertencem somente ao Google. A gigante das buscas afirma que essa porção do ecossistema é um “elemento crítico” de suas aplicações, portanto é justo que seja abrangida.

Há uma regra que deve ser seguida nesse caso: eventuais falhas de segurança — e a solução para o problema — devem ser reportadas inicialmente à empresa responsável pela aplicação de código aberto utilizada pelo Google. Então, é necessário provar que a brecha pode afetar o ecossistema da empresa para que, somente então, seja elegível à recompensa.

Os projetos considerados “carros-chefes” do ecossistema de software aberto do Google, naturalmente, rendem quantias maiores de recompensa. Quem encontrar falhas de segurança em produtos ou comprometimentos na cadeia de suprimentos da empresa pode receber até US$ 31.337 — algo que se converte em cerca de R$ 162 mil.

Alguns dos projetos englobados são o Bazel, Angular, Golan e o sistema operacional Fuchsia, que possui integração aos dispositivos de casa inteligente dos usuários, portanto é uma área em que a segurança do software é mais que fundamental.