Google предлагает деньги за исправления безопасности


Google предлагает вознаграждение за исправления в размере до 3,133,70 долл. США разработчикам, которые вносят свой вклад в повышение безопасности программного обеспечения с открытым исходным кодом, лежащего в основе функционирования Интернета.

Google уже имеет установленную Программу вознаграждения за уязвимости, охватывающую принадлежащие Google веб-ресурсы, по которой выплачиваются суммы от 100 до 20 000 долларов за сообщения об ошибках безопасности. Теперь программа распространяется на внешнее программное обеспечение, но с изменением акцента, как объяснил Михал Залевски в блоге Google Online Security:

Мы думали о том, чтобы просто запустить программу поиска ошибок OSS, но этот подход может легко иметь неприятные последствия. Помимо достоверных отчетов, программы bug bounties привлекают значительный объем ложного трафика – достаточного, чтобы полностью сокрушить небольшое сообщество добровольцев. Кроме того, решение проблемы часто требует больше усилий, чем ее поиск.

Вместо того, чтобы просто запрашивать отчеты об ошибках, Google теперь ищет:

упреждающие улучшения, выходящие за рамки простого исправления известной ошибки безопасности.

Примеры, которые он предлагает, переключаются на более безопасный распределитель; добавление разделения привилегий; очистка кучи отрывочных вызовов strcat () и включение ASLR.

Программа будет разворачиваться постепенно и первоначально охватывает:

Сетевые сервисы базовой инфраструктуры: OpenSSH, BIND, ISC DHCP

Парсеры образов базовой инфраструктуры: libjpeg, libjpeg-turbo, libpng, giflib

Основы Google Chrome с открытым исходным кодом: Chromium, Blink

Другие высокоэффективные библиотеки: OpenSSL, zlib

Важные с точки зрения безопасности, часто используемые компоненты ядра Linux (включая KVM)

В зависимости от полученных отзывов и представлений ожидается, что в ближайшее время он будет расширен до:

Широко используемые веб-серверы: Apache httpd, lighttpd, nginx

Популярные SMTP-сервисы: Sendmail, Postfix, Exim

Улучшения безопасности Toolchain для GCC, binutils и llvm

Виртуальная частная сеть: OpenVPN

Для того, чтобы участвовать в схеме, вы должны отправить патчи непосредственно сопровождающим отдельных проектов. После того, как ваш патч будет принят и добавлен в репозиторий, вы отправите всю необходимую информацию по адресу security-patches@google.com. Если будет установлено, что это окажет очевидное положительное влияние на безопасность проекта, вы получите право на вознаграждение в размере от 500 до 3133,7 долларов США. В Правилах программы приводится более подробная информация о типах исправлений, которые будут рассматриваться для получения вознаграждения.

Если вас озадачивает сумма, выбранная для максимальной выплаты, вы, вероятно, еще не знаете leetspeak, алфавита, в котором для замены букв используются комбинации символов ASCII. В Leet 3 обозначает e, 1 – l и 7 – t. Термин leet (1337) обычно используется для обозначения «огромного мастерства или достижения», особенно во взломе.

В своей существующей программе уязвимости Google неоднократно использует вознаграждение в размере 1337 долларов, и в этом случае «eleet» на 3133,7 доллара даже лучше, чем «leet».


Добавить комментарий