Компания Google стала одним из пионеров в области своеобразного аутсорсинга обнаружения дефектов безопасности в своих веб-продуктах и Chromium, выплачивая хакерам вознаграждения как на регулярной основе, так и на специальных конкурсах — например, Pwn2Own и Pwnium. Теперь Google решила пойти дальше, расширив свою программу вознаграждений и на проекты, которые не имеют отношения к интернет-корпорации, но обязательно должны быть открытыми. Пока компания составила ограниченный список утвержденных проектов на время пробного периода, а в дальнейшем, в случае успеха, планирует расширять этот список. Впрочем, речь идёт не совсем об уязвимостях, а об их исправлениях. Заинтересовались?
Итак, текущий список таков:
Уже составлен список проектов, которые будут добавлены немного позднее:
1). Обнаружить уязвимость в одном из проектов (неожиданно, верно?)
2). Написать патч, исправляющий эту уязвимость
3). Отправить её в проект
4). Дождаться верификации мейнтейнеров проекта (по внутренним правилам проекта).
5). После того, как ваш патч будет включен в основную ветку проекта, писать письмо на security-patches@google.com с ссылками, описаниями и диффами вашей работы.
6). Дождаться верификации ребят из Google Security Team, которые проверят ваши труды.
7). В случае успешной верификации, вы можете получить вознаграждение от $500 до $3,133.7 USD. Налоги и прочие тонкости законодательств вашей страны — на вашей совести. Впрочем, если ваш патч просто невероятное произведение программерского искусства, то награды могут быть выше и ограничиваться лишь щедростью Google. Кроме того, награда может быть разделена, в случае если внедрение патча потребовало значительной работы от основной команды разработчиков проекта. В случае, если награда востребована не будет, то Google по своему усмотрению направит сумму на благотворительность.
Если уязвимость уже была известна, и я её исправил, то могу я получить награду?
В большинстве случаев — нет. Впрочем, если её исправление требовало нетривиальной работы, то такие патчи могут рассматриваться.
Почему вы оплачиваете именно исправление уязвимостей, а не их обнаружение?
Дело в том, что для большинства открытых проектов основной проблемой является не обнаружение уязвимостей, а их исправление, так как командам проектов часто не хватает либо кадров, либо времени. Поэтому исправление уязвимостей, по нашему мнению, куда важнее и ценнее.
Зачем мой патч должен быть для начала включен в основную ветку проекта?
1). Мы хотим, чтобы код патча соответствовал всем внутренним требованиям проекта
2). Патч, который может никогда не оказаться в основной ветке, толком никому не нужен.
Если я являюсь одним из основных разработчиков проекта, я могу участвовать в программе вознаграждений?
В большинстве случаев — да.
А кто будет решать, подходит мой патч для награды или нет?
Команда Google Security.
Я хочу сохранить анонимность своей работы, что можно сделать?
Если у вас есть такое желание, то в случае верификации вашего патча, наша команда свяжется с вами по поводу тонкостей оплаты вашей работы, а также ваше имя не появится в зале славы Google.
Источники:
Объявление в блоге Google (англ.).
Более подробные условия (англ.).
Итак, текущий список таков:
- Инфраструктурные сетевые проекты: OpenSSH, BIND, ISC DHCP
- Парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
- Открытые проекты под капотом Google Chrome: Chromium и Blink
- Важные библиотеки: OpenSSL, zlib
- Критичные к безопасности компоненты ядра Linux, включая KVM
Уже составлен список проектов, которые будут добавлены немного позднее:
- Веб-серверы: Apache, nginx, lighttpd
- Популярные SMTP-серверы: Sendmail, Postfix, Exim
- Улучшения безопасности тулчейнов GCC, binutils и llvm
- OpenVPN
ЧТО ДЕЛАТЬ, ГОВОРИ БЫСТРА!1
1). Обнаружить уязвимость в одном из проектов (неожиданно, верно?)
2). Написать патч, исправляющий эту уязвимость
3). Отправить её в проект
4). Дождаться верификации мейнтейнеров проекта (по внутренним правилам проекта).
5). После того, как ваш патч будет включен в основную ветку проекта, писать письмо на security-patches@google.com с ссылками, описаниями и диффами вашей работы.
6). Дождаться верификации ребят из Google Security Team, которые проверят ваши труды.
7). В случае успешной верификации, вы можете получить вознаграждение от $500 до $3,133.7 USD. Налоги и прочие тонкости законодательств вашей страны — на вашей совести. Впрочем, если ваш патч просто невероятное произведение программерского искусства, то награды могут быть выше и ограничиваться лишь щедростью Google. Кроме того, награда может быть разделена, в случае если внедрение патча потребовало значительной работы от основной команды разработчиков проекта. В случае, если награда востребована не будет, то Google по своему усмотрению направит сумму на благотворительность.
ЧаВо
Если уязвимость уже была известна, и я её исправил, то могу я получить награду?
В большинстве случаев — нет. Впрочем, если её исправление требовало нетривиальной работы, то такие патчи могут рассматриваться.
Почему вы оплачиваете именно исправление уязвимостей, а не их обнаружение?
Дело в том, что для большинства открытых проектов основной проблемой является не обнаружение уязвимостей, а их исправление, так как командам проектов часто не хватает либо кадров, либо времени. Поэтому исправление уязвимостей, по нашему мнению, куда важнее и ценнее.
Зачем мой патч должен быть для начала включен в основную ветку проекта?
1). Мы хотим, чтобы код патча соответствовал всем внутренним требованиям проекта
2). Патч, который может никогда не оказаться в основной ветке, толком никому не нужен.
Если я являюсь одним из основных разработчиков проекта, я могу участвовать в программе вознаграждений?
В большинстве случаев — да.
А кто будет решать, подходит мой патч для награды или нет?
Команда Google Security.
Я хочу сохранить анонимность своей работы, что можно сделать?
Если у вас есть такое желание, то в случае верификации вашего патча, наша команда свяжется с вами по поводу тонкостей оплаты вашей работы, а также ваше имя не появится в зале славы Google.
Источники:
Объявление в блоге Google (англ.).
Более подробные условия (англ.).
