Google начинает выплачивать вознаграждения за исправление уязвимостей в проектах с открытым исходным кодом

    Компания Google стала одним из пионеров в области своеобразного аутсорсинга обнаружения дефектов безопасности в своих веб-продуктах и Chromium, выплачивая хакерам вознаграждения как на регулярной основе, так и на специальных конкурсах — например, Pwn2Own и Pwnium. Теперь Google решила пойти дальше, расширив свою программу вознаграждений и на проекты, которые не имеют отношения к интернет-корпорации, но обязательно должны быть открытыми. Пока компания составила ограниченный список утвержденных проектов на время пробного периода, а в дальнейшем, в случае успеха, планирует расширять этот список. Впрочем, речь идёт не совсем об уязвимостях, а об их исправлениях. Заинтересовались?

    Итак, текущий список таков:
    • Инфраструктурные сетевые проекты: OpenSSH, BIND, ISC DHCP
    • Парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
    • Открытые проекты под капотом Google Chrome: Chromium и Blink
    • Важные библиотеки: OpenSSL, zlib
    • Критичные к безопасности компоненты ядра Linux, включая KVM

    Уже составлен список проектов, которые будут добавлены немного позднее:
    • Веб-серверы: Apache, nginx, lighttpd
    • Популярные SMTP-серверы: Sendmail, Postfix, Exim
    • Улучшения безопасности тулчейнов GCC, binutils и llvm
    • OpenVPN


    ЧТО ДЕЛАТЬ, ГОВОРИ БЫСТРА!1


    1). Обнаружить уязвимость в одном из проектов (неожиданно, верно?)
    2). Написать патч, исправляющий эту уязвимость
    3). Отправить её в проект
    4). Дождаться верификации мейнтейнеров проекта (по внутренним правилам проекта).
    5). После того, как ваш патч будет включен в основную ветку проекта, писать письмо на security-patches@google.com с ссылками, описаниями и диффами вашей работы.
    6). Дождаться верификации ребят из Google Security Team, которые проверят ваши труды.
    7). В случае успешной верификации, вы можете получить вознаграждение от $500 до $3,133.7 USD. Налоги и прочие тонкости законодательств вашей страны — на вашей совести. Впрочем, если ваш патч просто невероятное произведение программерского искусства, то награды могут быть выше и ограничиваться лишь щедростью Google. Кроме того, награда может быть разделена, в случае если внедрение патча потребовало значительной работы от основной команды разработчиков проекта. В случае, если награда востребована не будет, то Google по своему усмотрению направит сумму на благотворительность.

    ЧаВо


    Если уязвимость уже была известна, и я её исправил, то могу я получить награду?
    В большинстве случаев — нет. Впрочем, если её исправление требовало нетривиальной работы, то такие патчи могут рассматриваться.

    Почему вы оплачиваете именно исправление уязвимостей, а не их обнаружение?
    Дело в том, что для большинства открытых проектов основной проблемой является не обнаружение уязвимостей, а их исправление, так как командам проектов часто не хватает либо кадров, либо времени. Поэтому исправление уязвимостей, по нашему мнению, куда важнее и ценнее.

    Зачем мой патч должен быть для начала включен в основную ветку проекта?
    1). Мы хотим, чтобы код патча соответствовал всем внутренним требованиям проекта
    2). Патч, который может никогда не оказаться в основной ветке, толком никому не нужен.

    Если я являюсь одним из основных разработчиков проекта, я могу участвовать в программе вознаграждений?
    В большинстве случаев — да.

    А кто будет решать, подходит мой патч для награды или нет?
    Команда Google Security.

    Я хочу сохранить анонимность своей работы, что можно сделать?
    Если у вас есть такое желание, то в случае верификации вашего патча, наша команда свяжется с вами по поводу тонкостей оплаты вашей работы, а также ваше имя не появится в зале славы Google.

    Источники:
    Объявление в блоге Google (англ.).
    Более подробные условия (англ.).
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 21

      +14
      Если я являюсь одним из основных разработчиков проекта, я могу участвовать в программе вознаграждений?
      В большинстве случаев — да.
      1. Я, как разработчик, специально предусмотрел уязвимость, которая пошла в продакшн.
      2. Написал патч.
      3. ???
      4. Получил от $500 до $3,133.7
        +11
        Слишком палевно. Сам напортачил, сам исправил — ссзб. А вот предусмотрел дырку, сообщил о ней корешу, он от себя внёс патч, распилили на двоих 3133.7 — другое дело :)

        Если серьёзно, то не думаю, что в гугле там все дураки сидят, вся история изменений в публичных репах проектов есть, и понять, уязвимость была допущена с умыслом или нет, можно. Более того, злой умысел должен предпринять не один разработчик, а сразу несколько, учитывая контрольные схемы ревьюера, мейнтейнера и других.
          0
          Думаю все сводит на нет, то что проектам уже много лет. Но посмотрим, что будет дальше :-)
          +17
          1. Я, как разработчик, специально предусмотрел уязвимость, которая пошла в продакшн.
          вы гарантированно не один из основных разработчиков ЭТИХ проектов.
          • UFO just landed and posted this here
              +1
              Вау, разработчик OpenSSH на линии!
                0
                Наверное у каждого второго русского промелькнула эта мысль. Почему мы такие? Даже обидно…
                  +5
                  Говорите за себя. Не нужно дискредитировать нацию, обобщая наблюдения за парой человек.
                –5
                Главное теперь чтобы при таком подходе девелоперы не оставляли дыры в продуктах заранее, чтобы потом их пофиксить и лишние денежки получить)
                • UFO just landed and posted this here
                    +1
                    Я думаю люди которые способны писать вышеперечисленные проекты не плохо зарабатывают и свою репутацию гробить не хотят из-за копеек типо 500-3000 баксов.
                    –6
                    Ха, добавили бы в эту инициативу %сами знаете что% =)
                    • UFO just landed and posted this here
                      +2
                      Хитрый план. Имхо, так вычисляют интересных для Гугла программистов.
                        +5
                        Отличное начинание, которое позволит проектам избавляться от ошибок быстро. Правда странно, что за исправление известной уязвимости не платят — если уязвимость висит, то почему ее исправление не считается ценным (пусть и на минимальную сумму).
                          +2
                          Философски: А как понять, баг является уязвимостью или нет? А то этих багов...
                          • UFO just landed and posted this here
                            +2
                            Одному мне кажется, что ответы на пункты ЧаВо «Если уязвимость уже была известна, и я её исправил, то могу я получить награду?» и «Почему вы оплачиваете именно исправление уязвимостей, а не их обнаружение?» противоречат друг другу? Исправить важнее, чем найти, но за исправление уже известного платить скорее всего не будем.
                            • UFO just landed and posted this here
                              +4
                              1337

                              Мило.
                                +2
                                31337 даже, «элит» же.

                              Only users with full accounts can post comments. Log in, please.