Google начинает выплачивать вознаграждения за исправление уязвимостей в проектах с открытым исходным кодом

в 7:22, , рубрики: Google, open source, информационная безопасность, метки:

Компания Google стала одним из пионеров в области своеобразного аутсорсинга обнаружения дефектов безопасности в своих веб-продуктах и Chromium, выплачивая хакерам вознаграждения как на регулярной основе, так и на специальных конкурсах — например, Pwn2Own и Pwnium. Теперь Google решила пойти дальше, расширив свою программу вознаграждений и на проекты, которые не имеют отношения к интернет-корпорации, но обязательно должны быть открытыми. Пока компания составила ограниченный список утвержденных проектов на время пробного периода, а в дальнейшем, в случае успеха, планирует расширять этот список. Впрочем, речь идёт не совсем об уязвимостях, а об их исправлениях. Заинтересовались?

Итак, текущий список таков:

  • Инфраструктурные сетевые проекты: OpenSSH, BIND, ISC DHCP
  • Парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
  • Открытые проекты под капотом Google Chrome: Chromium и Blink
  • Важные библиотеки: OpenSSL, zlib
  • Критичные к безопасности компоненты ядра Linux, включая KVM

Уже составлен список проектов, которые будут добавлены немного позднее:

  • Веб-серверы: Apache, nginx, lighttpd
  • Популярные SMPT сервисы: Sendmail, Postfix, Exim
  • Улучшения безопасности тулчейнов GCC, binutils, and llvm
  • OpenVPN

ЧТО ДЕЛАТЬ, ГОВОРИ БЫСТРА!1

1). Обнаружить уязвимость в одном из проектов (неожиданно, верно?)
2). Написать патч, исправляющий эту уязвимость
3). Отправить её в проект
4). Дождаться верификации мейнтейнеров проекта (по внутренним правилам проекта).
5). После того, как ваш патч будет включен в основную ветку проекта, писать письмо security-patches@google.com с ссылками, описаниями и диффами вашей работы.
6). Дождаться верификации ребят из Google Security Team, которые проверят ваши труды.
7). В случае успешной верификации, вы можете получить вознаграждение от $500 до $3,133.7 USD. Налоги и прочие тонкости законодательств вашей страны — на вашей совести. Впрочем, если ваш патч просто невероятное произведение программерского искусства, то награды могут быть выше и ограничиваться лишь щедростью Google.

Автор: Mairon

Источник

Поделиться

* - обязательные к заполнению поля