Google будет выплачивать вознаграждения за повышение безопасности популярного свободного ПО

10.10.2013 09:12

Компания Google объявила о расширении действия программы по выплате вознаграждений за предоставление информации о наличии уязвимостей в браузере Chrome, компонентах Chrome OS и web-сервисах Google. Отныне вознаграждение смогут получить также исследователи безопасности, работающие в области повышения безопасности популярного сетевого и системного свободного ПО, а также распространённых открытых библиотек. При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.

Например, может быть внедрён более безопасный механизм распределения памяти, реализовано разделение привилегий, выполнена чистка кода от небезопасных функций, задействована рандомизация выделяемых областей памяти и т.п. При этом все изменения должны направляться сразу в upstream-проекты и после принятия изменений в Google следует направить запрос на получение премии с указанием ссылок на проведённую работу. Подобный шаг обусловлен тем, что зачастую исправление проблем с безопасностью требует больших усилий, чем выявление уязвимости.

Размер вознаграждения составит от $500 до $3,133.70 в зависимости от сложности, качества и важности предложенных изменений. Тем не менее, не исключается повышение размера вознаграждения для особо важных и сложных случаев, а также выделение отдельного вознаграждения основным разработчикам проекта, если для внедрения изменений с их стороны будет проведена значительная работа. Для тех кто не нуждается в деньгах, но готов участвовать в повышении безопасности свободного ПО, планируется предоставить возможность перечисления вознаграждения благотворительным организациям.

В программу выплаты вознаграждения включены:

Приложения, обеспечивающие работу ключевых сетевых сервисов: OpenSSH, BIND, ISC DHCP;
Библиотеки для работы с изображениями: libjpeg, libjpeg-turbo, libpng, giflib;
Другие важные библиотеки: OpenSSL, zlib;
Открытые проекты, связанные с Google Chrome: Chromium, Blink;
Требующие высокой безопасности и часто используемые компоненты ядра Linux, в том числе гипервизор KVM.

В анонсе также сообщается, что в ближайшие недели число вовлечённых в программу проектов будет расширено такими открытыми продуктами, как http-сервер Apache, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm и OpenVPN.

исправить +51 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38123-google

Ключевые слова: google, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.1, медведдд (ok), 09:37, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	–9 +/–
Чёрт, надо было 5 лет начинать хакерствовать. Сейчас бы обогатился :( p.s. С большим количеством проектов 100500% начнут злоупотреблять (через левый аккаунт внес хитрый баг, потом сам же починил за $$$). :(

2.6, Аноним (-), 09:50, 10/10/2013 [^] [^^] [^^^] [ответить]	+7 +/–
Вообще-то, компании, выплачивающие вознаграждения за выявление уязвимостей в распространённом ПО, существуют уже много лет. Самая известная - Zero Day Initiative. А то, что написано в "p.s.", уголовно наказуемо. Разумеется, есть люди, которых это не останавливает, но такие обычно продают уязвимости на чёрном рынке - так прибыльнее.

2.17, Аноним (-), 10:57, 10/10/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> через левый аккаунт внес хитрый баг, потом сам же починил за $$$ Ну да, все дypaки и только вы один такой умный. Как вы думаете, много ли проектов принимают коммиты "от левыъ аккаунтов", да еще с багами? :)

3.20, медведдд (ok), 11:28, 10/10/2013 [^] [^^] [^^^] [ответить]	–2 +/–
"Как вы думаете, много ли проектов принимают коммиты "от левыъ аккаунтов"" Где число присылающих патчи больше ста - всё описанное очень легко сделать. Разумеется, присылать баги не в каждом патче, а в каждом пятом например.

4.21, Lain_13 (ok), 12:27, 10/10/2013 [^] [^^] [^^^] [ответить]	+/–
Успехов с внесением таких патчей в ведро.

5.22, медведдд (ok), 12:29, 10/10/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Новость не про ведро.

6.25, Lain_13 (ok), 14:12, 10/10/2013 [^] [^^] [^^^] [ответить]	+/–
А ты и не уточнял, что в проекты с большим числом коммитов ограничены предоставленным тут списком. Ок, вперёд коммитить бэкдоры в GCC.

6.26, еще один аноним (?), 14:15, 10/10/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Внимательнее читайте новости: " ... В программу выплаты вознаграждения включены: ... Требующие высокой безопасности и часто-используемые компоненты ядра Linux, в том числе гипервизор KVM. ... "

7.42, Аноним (-), 19:15, 10/10/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Требующие высокой безопасности и часто-используемые компоненты ядра Linux, в > том числе гипервизор KVM. Как бы удачи туда что-то закоммитить с "левого аккаунта" и чтобы потом не испортить себе биографию на всю жизнь.

8.50, pavlinux (ok), 16:05, 13/10/2013 [^] [^^] [^^^] [ответить]	+/–
В ядро-то с правого закомметить почти не реально ... текст свёрнут, показать

3.35, Аноним (-), 17:51, 10/10/2013 [^] [^^] [^^^] [ответить]	–4 +/–
Ну, можно наоборот. Постить патчи с дырками с основного аккаунта, а находить дырки - с левого. Ну а когда спросят - зачем такие патчи постил, то с честным взглядом отвечать - у виска был пистолет, который держал сотрудник АНБ.

2.29, некто (ok), 15:45, 10/10/2013 [^] [^^] [^^^] [ответить]	+/–
еще не все потеряно - только достойными методами

1.3, Аноним (-), 09:42, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+15 +/–
>BIND Это их разорит.

2.7, VoDA (ok), 09:57, 10/10/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Скорее имеется в виду последняя мажорная версия ПО, так что будут фиксать BIND 10, что есть хорошо )))

1.4, Loooooker (ok), 09:44, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
А что, интересный способ поддержки СПО =)

1.8, VoDA (ok), 09:58, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx. Выбрали бы тот, что используют сами и пилили его.

2.10, Andrey Mitrofanov (?), 10:07, 10/10/2013 [^] [^^] [^^^] [ответить]

+2 +/–

> Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.

У богатых - свои.

> Выбрали бы тот, что используют сами и пилили его.

Почему ты считаешь, что они не могут платить за развитие того, что использую я? :-P Странный ты.

2.18, Аноним (-), 10:59, 10/10/2013 [^] [^^] [^^^] [ответить]

+2 +/–

> Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.

А в каком месте они гуглу вообще конкуренты? Гугл вообще поставками серверного ПО такого плана не занимается, поэтому с ним не получится конкурировать :).

> Выбрали бы тот, что используют сами и пилили его.

А вы уверены что они нигде не используют ничего из перечисленного?

3.28, annulen (ok), 15:20, 10/10/2013 [^] [^^] [^^^] [ответить]	+1 +/–
>А вы уверены что они нигде не используют ничего из перечисленного? Я уверен, что они используют все три сервера для разных задач, иначе они не стали бы за них платить.

1.9, noize (ok), 10:04, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
not bad

1.12, бедный буратино (ok), 10:10, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Ну, теперь множеству ошибок точно капец.

2.16, Аноним (-), 10:56, 10/10/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Wine же нету в списке. Там и отсидтися.

3.19, Аноним (-), 10:59, 10/10/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Wine же нету в списке. Там и отсидтися. Виндyзятникам не привыкать. Да и вообще, заслуженно.

3.30, Клыкастый (ok), 16:09, 10/10/2013 [^] [^^] [^^^] [ответить]	+4 +/–
Вайн должен быть с багами, а как же. А то неаутентичненько.

4.33, Inome (ok), 16:41, 10/10/2013 [^] [^^] [^^^] [ответить]	+7 +/–
+1 А то не будет совместим с вендой

1.31, Аноним (-), 16:14, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новых технологий?

2.34, chinarulezzz (ok), 16:46, 10/10/2013 [^] [^^] [^^^] [ответить]	+/–
> Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новых технологий? лучшее - враг хорошего.

1.38, fs (?), 18:34, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
И кстати, в описании новости баг: патчи ДОЛЖНЫ быть направлены апстрим-разработчику, приняты им, и внесены в репозиторий. После этого ссылку на коммит можно отправить гуглу и скрестить пальцы, чтобы они за это заплатили. In order to qualify, your patch must first be submitted directly to the maintainers of the project, and you must work with them to have it accepted into the repository and incorporated into a shipping version of the program. After these prerequisites are met, please submit your entry to security-patches@google.com.

1.43, Int (?), 19:29, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей. Права на патчи передавать гуглу ?

2.44, fs (?), 19:33, 10/10/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Учитывая то, что перед передачей патча гуглу, вам необходимо добиться внесения его в репозиторий проекта, то ваш патч будет под той же лицензией, что и код самого проекта.

1.49, ua9oas (ok), 23:09, 10/10/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А могут ли там также что выплачивать и за просто разработки и усовершенствования СПО? А за заслуги (и заодно и для помощи) по миграции, внедрению, распространению? (либо если не они, то тогда кто другой это может ли делать?) Я считаю, что это тоже важно. (а вот те события в некоторых странах по переводу на линукс одновременно десятков тысяч рабочих мест могут ли внести какой вклад в его и безопасность, и вообще- в усовершенствования? (увеличит ли это например количество багрепортов?))

игнорирование участников | лог модерирования

Добавить комментарий

Текст: