Компания Google объявила о расширении действия программы по выплате вознаграждений за предоставление информации о наличии уязвимостей в браузере Chrome, компонентах Chrome OS и web-сервисах Google. Отныне вознаграждение смогут получить также исследователи безопасности, работающие в области повышения безопасности популярного сетевого и системного свободного ПО, а также в распространённых открытых библиотек.Вознаграждения отныне будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей. Подобный шаг обусловлен тем, что зачастую исправление проблем с безопасностью, требует больших усилий чем выявление уязвимости. Размер вознаграждения составит от $500 до $3,133.70 в зависимости от важности предложенных изменений. Например, может быть внедрён более безопасный механизм распределения памяти реализовано разделение привилегий, выполнена чистка кода от небезопасных функций, задействована рандомизация выделяемых областей памяти и т.п. При этом все изменения могут направляться сразу в upstream-проекты и после принятия изменений, в Google может быть направлен запрос на получение премии с указанием ссылок на проведённую работу.
В программу выплаты вознаграждения включены:
- Приложения, обеспечивающие работу ключевых сетевых сервисов: OpenSSH, BIND, ISC DHCP;
- Библиотеки для работы с изображениями: libjpeg, libjpeg-turbo, libpng, giflib;
- Другие важные библиотеки: OpenSSL, zlib;
- Открытые проекты, связанные с Google Chrome: Chromium, Blink;
- Требующие высокой безопасности и часто-используемые компонеты ядра Linux, в том числе гипервизор KVM.В анонсе также сообщается, что ближайшее время число вовлечённых в программу проектов будет расширено такими открытыми продуктами, как http-сервер Apache, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm и OpenVPN.
URL: http://googleonlinesecurity.blogspot.ru/2013/10/going-beyond...
Новость: http://www.opennet.me/opennews/art.shtml?num=38123
Чёрт, надо было 5 лет начинать хакерствовать. Сейчас бы обогатился :(p.s. С большим количеством проектов 100500% начнут злоупотреблять (через левый аккаунт внес хитрый баг, потом сам же починил за $$$). :(
Вообще-то, компании, выплачивающие вознаграждения за выявление уязвимостей в распространённом ПО, существуют уже много лет. Самая известная - Zero Day Initiative.А то, что написано в "p.s.", уголовно наказуемо. Разумеется, есть люди, которых это не останавливает, но такие обычно продают уязвимости на чёрном рынке - так прибыльнее.
> через левый аккаунт внес хитрый баг, потом сам же починил за $$$Ну да, все дypaки и только вы один такой умный. Как вы думаете, много ли проектов принимают коммиты "от левыъ аккаунтов", да еще с багами? :)
"Как вы думаете, много ли проектов принимают коммиты "от левыъ аккаунтов""Где число присылающих патчи больше ста - всё описанное очень легко сделать. Разумеется, присылать баги не в каждом патче, а в каждом пятом например.
Успехов с внесением таких патчей в ведро.
Новость не про ведро.
А ты и не уточнял, что в проекты с большим числом коммитов ограничены предоставленным тут списком. Ок, вперёд коммитить бэкдоры в GCC.
Внимательнее читайте новости:
"
...
В программу выплаты вознаграждения включены:
...
Требующие высокой безопасности и часто-используемые компоненты ядра Linux, в том числе гипервизор KVM.
...
"
> Требующие высокой безопасности и часто-используемые компоненты ядра Linux, в
> том числе гипервизор KVM.Как бы удачи туда что-то закоммитить с "левого аккаунта" и чтобы потом не испортить себе биографию на всю жизнь.
В ядро-то с правого закомметить почти не реально... :)
Ну, можно наоборот. Постить патчи с дырками с основного аккаунта, а находить дырки - с левого. Ну а когда спросят - зачем такие патчи постил, то с честным взглядом отвечать - у виска был пистолет, который держал сотрудник АНБ.
еще не все потеряно - только достойными методами
>BINDЭто их разорит.
Скорее имеется в виду последняя мажорная версия ПО, так что будут фиксать BIND 10, что есть хорошо )))
А что, интересный способ поддержки СПО =)
Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.Выбрали бы тот, что используют сами и пилили его.
> Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.У богатых - свои.
> Выбрали бы тот, что используют сами и пилили его.
Почему ты считаешь, что они не могут платить за развитие того, что использую я? :-P Странный ты.
> Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.А в каком месте они гуглу вообще конкуренты? Гугл вообще поставками серверного ПО такого плана не занимается, поэтому с ним не получится конкурировать :).
> Выбрали бы тот, что используют сами и пилили его.А вы уверены что они нигде не используют ничего из перечисленного?
>А вы уверены что они нигде не используют ничего из перечисленного?Я уверен, что они используют все три сервера для разных задач, иначе они не стали бы за них платить.
not bad
Ну, теперь множеству ошибок точно капец.
Wine же нету в списке. Там и отсидтися.
> Wine же нету в списке. Там и отсидтися.Виндyзятникам не привыкать. Да и вообще, заслуженно.
Вайн должен быть с багами, а как же. А то неаутентичненько.
+1 А то не будет совместим с вендой
Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новых технологий?
> Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новых технологий?лучшее - враг хорошего.
И кстати, в описании новости баг: патчи ДОЛЖНЫ быть направлены апстрим-разработчику, приняты им, и внесены в репозиторий. После этого ссылку на коммит можно отправить гуглу и скрестить пальцы, чтобы они за это заплатили.In order to qualify, your patch must first be submitted directly to the maintainers of the project, and you must work with them to have it accepted into the repository and incorporated into a shipping version of the program. After these prerequisites are met, please submit your entry to security-patches@google.com.
>При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.Права на патчи передавать гуглу ?
Учитывая то, что перед передачей патча гуглу, вам необходимо добиться внесения его в репозиторий проекта, то ваш патч будет под той же лицензией, что и код самого проекта.
А могут ли там также что выплачивать и за просто разработки и усовершенствования СПО? А за заслуги (и заодно и для помощи) по миграции, внедрению, распространению? (либо если не они, то тогда кто другой это может ли делать?) Я считаю, что это тоже важно.
(а вот те события в некоторых странах по переводу на линукс одновременно десятков тысяч рабочих мест могут ли внести какой вклад в его и безопасность, и вообще- в усовершенствования? (увеличит ли это например количество багрепортов?))