The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.10.2013 09:12  Google будет выплачивать вознаграждения за повышение безопасности популярного свободного ПО

Компания Google объявила о расширении действия программы по выплате вознаграждений за предоставление информации о наличии уязвимостей в браузере Chrome, компонентах Chrome OS и web-сервисах Google. Отныне вознаграждение смогут получить также исследователи безопасности, работающие в области повышения безопасности популярного сетевого и системного свободного ПО, а также распространённых открытых библиотек. При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.

Например, может быть внедрён более безопасный механизм распределения памяти, реализовано разделение привилегий, выполнена чистка кода от небезопасных функций, задействована рандомизация выделяемых областей памяти и т.п. При этом все изменения должны направляться сразу в upstream-проекты и после принятия изменений в Google следует направить запрос на получение премии с указанием ссылок на проведённую работу. Подобный шаг обусловлен тем, что зачастую исправление проблем с безопасностью требует больших усилий, чем выявление уязвимости.

Размер вознаграждения составит от $500 до $3,133.70 в зависимости от сложности, качества и важности предложенных изменений. Тем не менее, не исключается повышение размера вознаграждения для особо важных и сложных случаев, а также выделение отдельного вознаграждения основным разработчикам проекта, если для внедрения изменений с их стороны будет проведена значительная работа. Для тех кто не нуждается в деньгах, но готов участвовать в повышении безопасности свободного ПО, планируется предоставить возможность перечисления вознаграждения благотворительным организациям.

В программу выплаты вознаграждения включены:

  • Приложения, обеспечивающие работу ключевых сетевых сервисов: OpenSSH, BIND, ISC DHCP;
  • Библиотеки для работы с изображениями: libjpeg, libjpeg-turbo, libpng, giflib;
  • Другие важные библиотеки: OpenSSL, zlib;
  • Открытые проекты, связанные с Google Chrome: Chromium, Blink;
  • Требующие высокой безопасности и часто используемые компоненты ядра Linux, в том числе гипервизор KVM.

В анонсе также сообщается, что в ближайшие недели число вовлечённых в программу проектов будет расширено такими открытыми продуктами, как http-сервер Apache, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm и OpenVPN.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Google расширил область действия программы по выплате вознаграждений за поиск уязвимостей в Chrome
  3. OpenNews: Релиз web-браузера Chrome 29
  4. OpenNews: Компания Google расширила программу по выплате вознаграждений за выявление уязвимостей
  5. OpenNews: Новая инициатива по поиску уязвимостей в Google Chrome с бюджетом в 1 миллион долларов
  6. OpenNews: Компания Google вводит в практику оплату за обнаружение уязвимостей в Chromium
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: google, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, медведдд, 09:37, 10/10/2013 [ответить] [смотреть все]     [к модератору]
  • –9 +/
    Чёрт, надо было 5 лет начинать хакерствовать Сейчас бы обогатился p s С бол... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 09:50, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +7 +/
    Вообще-то, компании, выплачивающие вознаграждения за выявление уязвимостей в распространённом ПО, существуют уже много лет. Самая известная - Zero Day Initiative.

    А то, что написано в "p.s.", уголовно наказуемо. Разумеется, есть люди, которых это не останавливает, но такие обычно продают уязвимости на чёрном рынке - так прибыльнее.

     
  • 2.17, Аноним, 10:57, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Ну да, все дypaки и только вы один такой умный Как вы думаете, много ли проекто... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, медведдд, 11:28, 10/10/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Как вы думаете, много ли проектов принимают коммиты от левыъ аккаунтов Где ч... весь текст скрыт [показать]
     
     
  • 4.21, Lain_13, 12:27, 10/10/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Успехов с внесением таких патчей в ведро.
     
     
  • 5.22, медведдд, 12:29, 10/10/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Новость не про ведро.
     
     
  • 6.25, Lain_13, 14:12, 10/10/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А ты и не уточнял, что в проекты с большим числом коммитов ограничены предоставл... весь текст скрыт [показать]
     
  • 6.26, еще один аноним, 14:15, 10/10/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Внимательнее читайте новости В программу выплаты вознаграждения включены ... весь текст скрыт [показать]
     
     
  • 7.42, Аноним, 19:15, 10/10/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Как бы удачи туда что-то закоммитить с левого аккаунта и чтобы потом не испорт... весь текст скрыт [показать]
     
     
  • 8.50, pavlinux, 16:05, 13/10/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В ядро-то с правого закомметить почти не реально... :)
     
  • 3.35, Аноним, 17:51, 10/10/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Ну, можно наоборот Постить патчи с дырками с основного аккаунта, а находить дыр... весь текст скрыт [показать]
     
  • 2.29, некто, 15:45, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    еще не все потеряно - только достойными методами
     
  • 1.3, Аноним, 09:42, 10/10/2013 [ответить] [смотреть все]    [к модератору]  
  • +15 +/
    >BIND

    Это их разорит.

     
     
  • 2.7, VoDA, 09:57, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Скорее имеется в виду последняя мажорная версия ПО, так что будут фиксать BIND 1... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Loooooker, 09:44, 10/10/2013 [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    А что, интересный способ поддержки СПО =)
     
  • 1.8, VoDA, 09:58, 10/10/2013 [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    Странно, что они раздают премии за развитие конкурентов http-сервер Apache, lig... весь текст скрыт [показать]
     
     
  • 2.10, Andrey Mitrofanov, 10:07, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    У богатых - свои Почему ты считаешь, что они не могут платить за развитие того,... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, Аноним, 10:59, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    А в каком месте они гуглу вообще конкуренты Гугл вообще поставками серверного П... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, annulen, 15:20, 10/10/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Я уверен, что они используют все три сервера для разных задач, иначе они не стал... весь текст скрыт [показать]
     
  • 1.9, noize, 10:04, 10/10/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    not bad
     
  • 1.12, бедный буратино, 10:10, 10/10/2013 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Ну, теперь множеству ошибок точно капец.
     
     
  • 2.16, Аноним, 10:56, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Wine же нету в списке. Там и отсидтися.
     
     
  • 3.19, Аноним, 10:59, 10/10/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Виндyзятникам не привыкать Да и вообще, заслуженно ... весь текст скрыт [показать]
     
  • 3.30, Клыкастый, 16:09, 10/10/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Вайн должен быть с багами, а как же. А то неаутентичненько.
     
     
  • 4.33, Inome, 16:41, 10/10/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    +1 А то не будет совместим с вендой
     
  • 1.31, Аноним, 16:14, 10/10/2013 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новы... весь текст скрыт [показать]
     
     
  • 2.34, chinarulezzz, 16:46, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    лучшее - враг хорошего ... весь текст скрыт [показать] [показать ветку]
     
  • 1.38, fs, 18:34, 10/10/2013 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    И кстати, в описании новости баг: патчи ДОЛЖНЫ быть направлены апстрим-разработчику, приняты им, и внесены в репозиторий. После этого ссылку на коммит можно отправить гуглу и скрестить пальцы, чтобы они за это заплатили.

    In order to qualify, your patch must first be submitted directly to the maintainers of the project, and you must work with them to have it accepted into the repository and incorporated into a shipping version of the program. After these prerequisites are met, please submit your entry to security-patches@google.com.

     
  • 1.43, Int, 19:29, 10/10/2013 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.

    Права на патчи передавать гуглу ?

     
     
  • 2.44, fs, 19:33, 10/10/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Учитывая то, что перед передачей патча гуглу, вам необходимо добиться внесения е... весь текст скрыт [показать] [показать ветку]
     
  • 1.49, ua9oas, 23:09, 10/10/2013 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А могут ли там также что выплачивать и за просто разработки и усовершенствования СПО? А за заслуги (и заодно и для помощи) по миграции, внедрению, распространению? (либо если не они, то тогда кто другой это может ли делать?) Я считаю, что это тоже важно.
    (а вот те события в некоторых странах по переводу на линукс одновременно десятков тысяч рабочих мест могут ли внести какой вклад в его и безопасность, и вообще- в усовершенствования? (увеличит ли это например количество багрепортов?))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor