The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Google будет выплачивать вознаграждения за выявление уязвимо..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google будет выплачивать вознаграждения за выявление уязвимо..."  +/
Сообщение от opennews (ok) on 10-Окт-13, 09:37 
Компания Google объявила о расширении действия программы по выплате вознаграждений за предоставление информации о наличии уязвимостей в браузере Chrome, компонентах Chrome OS и web-сервисах Google. Отныне вознаграждение смогут получить также исследователи безопасности, работающие в области повышения безопасности популярного сетевого и системного свободного ПО, а также в распространённых открытых библиотек.

Вознаграждения отныне будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей. Подобный шаг обусловлен тем, что зачастую исправление проблем с безопасностью, требует больших усилий чем выявление уязвимости. Размер вознаграждения составит от $500 до $3,133.70 в зависимости от важности предложенных изменений. Например, может быть внедрён более безопасный механизм распределения памяти реализовано разделение привилегий, выполнена чистка кода от небезопасных функций, задействована рандомизация выделяемых областей памяти и т.п. При этом все изменения могут направляться сразу в upstream-проекты и после принятия изменений, в Google может быть направлен запрос на получение премии с указанием ссылок на проведённую работу.

В программу выплаты вознаграждения включены:

-  Приложения, обеспечивающие работу ключевых сетевых сервисов: OpenSSH, BIND, ISC DHCP;
-  Библиотеки для работы с изображениями: libjpeg, libjpeg-turbo, libpng, giflib;
-  Другие важные библиотеки: OpenSSL, zlib;
-  Открытые проекты, связанные с Google Chrome: Chromium, Blink;
-  Требующие высокой безопасности и часто-используемые компонеты ядра Linux, в том числе гипервизор KVM.

В анонсе также сообщается, что ближайшее время число вовлечённых в программу проектов будет расширено такими открытыми продуктами, как http-сервер Apache, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm и OpenVPN.

URL: http://googleonlinesecurity.blogspot.ru/2013/10/going-beyond...
Новость: http://www.opennet.me/opennews/art.shtml?num=38123

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Google будет выплачивать вознаграждения за выявление уязвимо..."  –9 +/
Сообщение от медведдд email(ok) on 10-Окт-13, 09:37 
Чёрт, надо было 5 лет начинать хакерствовать. Сейчас бы обогатился :(

p.s. С большим количеством проектов 100500% начнут злоупотреблять (через левый аккаунт внес хитрый баг, потом сам же починил за $$$). :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +7 +/
Сообщение от Аноним (??) on 10-Окт-13, 09:50 
Вообще-то, компании, выплачивающие вознаграждения за выявление уязвимостей в распространённом ПО, существуют уже много лет. Самая известная - Zero Day Initiative.

А то, что написано в "p.s.", уголовно наказуемо. Разумеется, есть люди, которых это не останавливает, но такие обычно продают уязвимости на чёрном рынке - так прибыльнее.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +1 +/
Сообщение от Аноним (??) on 10-Окт-13, 10:57 
> через левый аккаунт внес хитрый баг, потом сам же починил за $$$

Ну да, все дypaки и только вы один такой умный. Как вы думаете, много ли проектов принимают коммиты "от левыъ аккаунтов", да еще с багами? :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

20. "Google будет выплачивать вознаграждения за выявление уязвимо..."  –2 +/
Сообщение от медведдд email(ok) on 10-Окт-13, 11:28 
"Как вы думаете, много ли проектов принимают коммиты "от левыъ аккаунтов""

Где число присылающих патчи больше ста - всё описанное очень легко сделать. Разумеется, присылать баги не в каждом патче, а в каждом пятом например.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +/
Сообщение от Lain_13 email(ok) on 10-Окт-13, 12:27 
Успехов с внесением таких патчей в ведро.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Google будет выплачивать вознаграждения за выявление уязвимо..."  –1 +/
Сообщение от медведдд email(ok) on 10-Окт-13, 12:29 
Новость не про ведро.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +/
Сообщение от Lain_13 (ok) on 10-Окт-13, 14:12 
А ты и не уточнял, что в проекты с большим числом коммитов ограничены предоставленным тут списком. Ок, вперёд коммитить бэкдоры в GCC.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Google будет выплачивать вознаграждения за выявление уязвимо..."  –1 +/
Сообщение от еще один аноним on 10-Окт-13, 14:15 
Внимательнее читайте новости:
"
...
В программу выплаты вознаграждения включены:
...
   Требующие высокой безопасности и часто-используемые компоненты ядра Linux, в том числе гипервизор KVM.
...
"
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

42. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +1 +/
Сообщение от Аноним (??) on 10-Окт-13, 19:15 
>    Требующие высокой безопасности и часто-используемые компоненты ядра Linux, в
> том числе гипервизор KVM.

Как бы удачи туда что-то закоммитить с "левого аккаунта" и чтобы потом не испортить себе биографию на всю жизнь.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

50. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +/
Сообщение от pavlinux (ok) on 13-Окт-13, 16:05 
В ядро-то с правого закомметить почти не реально... :)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

35. "Google будет выплачивать вознаграждения за выявление уязвимо..."  –4 +/
Сообщение от Аноним (??) on 10-Окт-13, 17:51 
Ну, можно наоборот. Постить патчи с дырками с основного аккаунта, а находить дырки - с левого. Ну а когда спросят - зачем такие патчи постил, то с честным взглядом отвечать - у виска был пистолет, который держал сотрудник АНБ.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +/
Сообщение от некто email(ok) on 10-Окт-13, 15:45 
еще не все потеряно - только достойными методами
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +15 +/
Сообщение от Аноним (??) on 10-Окт-13, 09:42 
>BIND

Это их разорит.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Google будет выплачивать вознаграждения за выявление уязвимо..."  –1 +/
Сообщение от VoDA (ok) on 10-Окт-13, 09:57 
Скорее имеется в виду последняя мажорная версия ПО, так что будут фиксать BIND 10, что есть хорошо )))
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +5 +/
Сообщение от Loooooker (ok) on 10-Окт-13, 09:44 
А что, интересный способ поддержки СПО =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Google будет выплачивать вознаграждения за выявление уязвимо..."  –5 +/
Сообщение от VoDA (ok) on 10-Окт-13, 09:58 
Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.

Выбрали бы тот, что используют сами и пилили его.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +2 +/
Сообщение от Andrey Mitrofanov on 10-Окт-13, 10:07 
> Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.

У богатых - свои.

> Выбрали бы тот, что используют сами и пилили его.

Почему ты считаешь, что они не могут платить за развитие того, что использую я? :-P Странный ты.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +2 +/
Сообщение от Аноним (??) on 10-Окт-13, 10:59 
> Странно, что они раздают премии за развитие конкурентов: http-сервер Apache, lighttpd, nginx.

А в каком месте они гуглу вообще конкуренты? Гугл вообще поставками серверного ПО такого плана не занимается, поэтому с ним не получится конкурировать :).


> Выбрали бы тот, что используют сами и пилили его.

А вы уверены что они нигде не используют ничего из перечисленного?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

28. "Google будет выплачивать вознаграждения за выявление уязвимо..."  +1 +/
Сообщение от annulen (ok) on 10-Окт-13, 15:20 
>А вы уверены что они нигде не используют ничего из перечисленного?

Я уверен, что они используют все три сервера для разных задач, иначе они не стали бы за них платить.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

9. "Google будет выплачивать вознаграждения за повышение безопас..."  +/
Сообщение от noize (ok) on 10-Окт-13, 10:04 
not bad
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Google будет выплачивать вознаграждения за повышение безопас..."  +4 +/
Сообщение от бедный буратино (ok) on 10-Окт-13, 10:10 
Ну, теперь множеству ошибок точно капец.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Google будет выплачивать вознаграждения за повышение безопас..."  –1 +/
Сообщение от Аноним (??) on 10-Окт-13, 10:56 
Wine же нету в списке. Там и отсидтися.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Google будет выплачивать вознаграждения за повышение безопас..."  +1 +/
Сообщение от Аноним (??) on 10-Окт-13, 10:59 
> Wine же нету в списке. Там и отсидтися.

Виндyзятникам не привыкать. Да и вообще, заслуженно.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

30. "Google будет выплачивать вознаграждения за повышение безопас..."  +4 +/
Сообщение от Клыкастый (ok) on 10-Окт-13, 16:09 
Вайн должен быть с багами, а как же. А то неаутентичненько.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

33. "Google будет выплачивать вознаграждения за повышение безопас..."  +7 +/
Сообщение от Inome email(ok) on 10-Окт-13, 16:41 
+1 А то не будет совместим с вендой
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

31. "Google будет выплачивать вознаграждения за повышение безопас..."  –1 +/
Сообщение от Аноним (??) on 10-Окт-13, 16:14 
Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новых технологий?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Google будет выплачивать вознаграждения за повышение безопас..."  +/
Сообщение от chinarulezzz (ok) on 10-Окт-13, 16:46 
> Этож сколько умов сейчас займётся ковырянием старого дерьма вместо создания новых технологий?

лучшее - враг хорошего.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

38. "Google будет выплачивать вознаграждения за повышение безопас..."  +1 +/
Сообщение от fs on 10-Окт-13, 18:34 
И кстати, в описании новости баг: патчи ДОЛЖНЫ быть направлены апстрим-разработчику, приняты им, и внесены в репозиторий. После этого ссылку на коммит можно отправить гуглу и скрестить пальцы, чтобы они за это заплатили.

In order to qualify, your patch must first be submitted directly to the maintainers of the project, and you must work with them to have it accepted into the repository and incorporated into a shipping version of the program. After these prerequisites are met, please submit your entry to security-patches@google.com.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Google будет выплачивать вознаграждения за повышение безопас..."  –1 +/
Сообщение от Int on 10-Окт-13, 19:29 
>При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.

Права на патчи передавать гуглу ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Google будет выплачивать вознаграждения за повышение безопас..."  +1 +/
Сообщение от fs on 10-Окт-13, 19:33 
Учитывая то, что перед передачей патча гуглу, вам необходимо добиться внесения его в репозиторий проекта, то ваш патч будет под той же лицензией, что и код самого проекта.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

49. "Google будет выплачивать вознаграждения за повышение безопас..."  –1 +/
Сообщение от ua9oas email(ok) on 10-Окт-13, 23:09 
А могут ли там также что выплачивать и за просто разработки и усовершенствования СПО? А за заслуги (и заодно и для помощи) по миграции, внедрению, распространению? (либо если не они, то тогда кто другой это может ли делать?) Я считаю, что это тоже важно.
(а вот те события в некоторых странах по переводу на линукс одновременно десятков тысяч рабочих мест могут ли внести какой вклад в его и безопасность, и вообще- в усовершенствования? (увеличит ли это например количество багрепортов?))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру