The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.10.2013 09:12  Google будет выплачивать вознаграждения за повышение безопасности популярного свободного ПО

Компания Google объявила о расширении действия программы по выплате вознаграждений за предоставление информации о наличии уязвимостей в браузере Chrome, компонентах Chrome OS и web-сервисах Google. Отныне вознаграждение смогут получить также исследователи безопасности, работающие в области повышения безопасности популярного сетевого и системного свободного ПО, а также распространённых открытых библиотек. При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.

Например, может быть внедрён более безопасный механизм распределения памяти, реализовано разделение привилегий, выполнена чистка кода от небезопасных функций, задействована рандомизация выделяемых областей памяти и т.п. При этом все изменения должны направляться сразу в upstream-проекты и после принятия изменений в Google следует направить запрос на получение премии с указанием ссылок на проведённую работу. Подобный шаг обусловлен тем, что зачастую исправление проблем с безопасностью требует больших усилий, чем выявление уязвимости.

Размер вознаграждения составит от $500 до $3,133.70 в зависимости от сложности, качества и важности предложенных изменений. Тем не менее, не исключается повышение размера вознаграждения для особо важных и сложных случаев, а также выделение отдельного вознаграждения основным разработчикам проекта, если для внедрения изменений с их стороны будет проведена значительная работа. Для тех кто не нуждается в деньгах, но готов участвовать в повышении безопасности свободного ПО, планируется предоставить возможность перечисления вознаграждения благотворительным организациям.

В программу выплаты вознаграждения включены:

  • Приложения, обеспечивающие работу ключевых сетевых сервисов: OpenSSH, BIND, ISC DHCP;
  • Библиотеки для работы с изображениями: libjpeg, libjpeg-turbo, libpng, giflib;
  • Другие важные библиотеки: OpenSSL, zlib;
  • Открытые проекты, связанные с Google Chrome: Chromium, Blink;
  • Требующие высокой безопасности и часто используемые компоненты ядра Linux, в том числе гипервизор KVM.

В анонсе также сообщается, что в ближайшие недели число вовлечённых в программу проектов будет расширено такими открытыми продуктами, как http-сервер Apache, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm и OpenVPN.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Google расширил область действия программы по выплате вознаграждений за поиск уязвимостей в Chrome
  3. OpenNews: Релиз web-браузера Chrome 29
  4. OpenNews: Компания Google расширила программу по выплате вознаграждений за выявление уязвимостей
  5. OpenNews: Новая инициатива по поиску уязвимостей в Google Chrome с бюджетом в 1 миллион долларов
  6. OpenNews: Компания Google вводит в практику оплату за обнаружение уязвимостей в Chromium
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: google, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, медведдд (ok), 09:37, 10/10/2013 [ответить] [показать ветку] [···]     [к модератору]
  • –9 +/
    Чёрт, надо было 5 лет начинать хакерствовать Сейчас бы обогатился p s С бол... весь текст скрыт [показать]
     
     
  • 2.6, Аноним (-), 09:50, 10/10/2013 [^] [ответить]    [к модератору]  
  • +7 +/
    Вообще-то, компании, выплачивающие вознаграждения за выявление уязвимостей в распространённом ПО, существуют уже много лет. Самая известная - Zero Day Initiative.

    А то, что написано в "p.s.", уголовно наказуемо. Разумеется, есть люди, которых это не останавливает, но такие обычно продают уязвимости на чёрном рынке - так прибыльнее.

     
  • 2.17, Аноним (-), 10:57, 10/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну да, все дypaки и только вы один такой умный Как вы думаете, много ли проекто... весь текст скрыт [показать]
     
     
  • 3.20, медведдд (ok), 11:28, 10/10/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Как вы думаете, много ли проектов принимают коммиты от левыъ аккаунтов Где ч... весь текст скрыт [показать]
     
     
  • 4.21, Lain_13 (ok), 12:27, 10/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Успехов с внесением таких патчей в ведро.
     
     
  • 5.22, медведдд (ok), 12:29, 10/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Новость не про ведро.
     
     
  • 6.25, Lain_13 (ok), 14:12, 10/10/2013 [^] [ответить]    [к модератору]  
  • +/
    А ты и не уточнял, что в проекты с большим числом коммитов ограничены предоставленным тут списком. Ок, вперёд коммитить бэкдоры в GCC.
     
  • 6.26, еще один аноним (?), 14:15, 10/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Внимательнее читайте новости В программу выплаты вознаграждения включены ... весь текст скрыт [показать]
     
     
  • 7.42, Аноним (-), 19:15, 10/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Как бы удачи туда что-то закоммитить с левого аккаунта и чтобы потом не испорт... весь текст скрыт [показать]
     
     
  • 8.50, pavlinux (ok), 16:05, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    В ядро-то с правого закомметить почти не реально... :)
     
  • 3.35, Аноним (-), 17:51, 10/10/2013 [^] [ответить]     [к модератору]  
  • –4 +/
    Ну, можно наоборот Постить патчи с дырками с основного аккаунта, а находить дыр... весь текст скрыт [показать]
     
  • 2.29, некто (ok), 15:45, 10/10/2013 [^] [ответить]    [к модератору]  
  • +/
    еще не все потеряно - только достойными методами
     
  • 1.3, Аноним (-), 09:42, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +15 +/
    >BIND

    Это их разорит.

     
     
  • 2.7, VoDA (ok), 09:57, 10/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Скорее имеется в виду последняя мажорная версия ПО, так что будут фиксать BIND 10, что есть хорошо )))
     
  • 1.4, Loooooker (ok), 09:44, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    А что, интересный способ поддержки СПО =)
     
  • 1.8, VoDA (ok), 09:58, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.

    Выбрали бы тот, что используют сами и пилили его.

     
     
  • 2.10, Andrey Mitrofanov (?), 10:07, 10/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    У богатых - свои Почему ты считаешь, что они не могут платить за развитие того,... весь текст скрыт [показать]
     
  • 2.18, Аноним (-), 10:59, 10/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    А в каком месте они гуглу вообще конкуренты Гугл вообще поставками серверного П... весь текст скрыт [показать]
     
     
  • 3.28, annulen (ok), 15:20, 10/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >А вы уверены что они нигде не используют ничего из перечисленного?

    Я уверен, что они используют все три сервера для разных задач, иначе они не стали бы за них платить.

     
  • 1.9, noize (ok), 10:04, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    not bad
     
  • 1.12, бедный буратино (ok), 10:10, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Ну, теперь множеству ошибок точно капец.
     
     
  • 2.16, Аноним (-), 10:56, 10/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Wine же нету в списке. Там и отсидтися.
     
     
  • 3.19, Аноним (-), 10:59, 10/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Wine же нету в списке. Там и отсидтися.

    Виндyзятникам не привыкать. Да и вообще, заслуженно.

     
  • 3.30, Клыкастый (ok), 16:09, 10/10/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    Вайн должен быть с багами, а как же. А то неаутентичненько.
     
     
  • 4.33, Inome (ok), 16:41, 10/10/2013 [^] [ответить]    [к модератору]  
  • +7 +/
    +1 А то не будет совместим с вендой
     
  • 1.31, Аноним (-), 16:14, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новых технологий?
     
     
  • 2.34, chinarulezzz (ok), 16:46, 10/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новых технологий?

    лучшее - враг хорошего.

     
  • 1.38, fs (?), 18:34, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    И кстати, в описании новости баг: патчи ДОЛЖНЫ быть направлены апстрим-разработчику, приняты им, и внесены в репозиторий. После этого ссылку на коммит можно отправить гуглу и скрестить пальцы, чтобы они за это заплатили.

    In order to qualify, your patch must first be submitted directly to the maintainers of the project, and you must work with them to have it accepted into the repository and incorporated into a shipping version of the program. After these prerequisites are met, please submit your entry to security-patches@google.com.

     
  • 1.43, Int (?), 19:29, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.

    Права на патчи передавать гуглу ?

     
     
  • 2.44, fs (?), 19:33, 10/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Учитывая то, что перед передачей патча гуглу, вам необходимо добиться внесения его в репозиторий проекта, то ваш патч будет под той же лицензией, что и код самого проекта.
     
  • 1.49, ua9oas (ok), 23:09, 10/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А могут ли там также что выплачивать и за просто разработки и усовершенствования СПО? А за заслуги (и заодно и для помощи) по миграции, внедрению, распространению? (либо если не они, то тогда кто другой это может ли делать?) Я считаю, что это тоже важно.
    (а вот те события в некоторых странах по переводу на линукс одновременно десятков тысяч рабочих мест могут ли внести какой вклад в его и безопасность, и вообще- в усовершенствования? (увеличит ли это например количество багрепортов?))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor