Google начинает выплачивать вознаграждения за исправление уязвимостей в проектах с открытым исходным кодом

    Компания Google стала одним из пионеров в области своеобразного аутсорсинга обнаружения дефектов безопасности в своих веб-продуктах и Chromium, выплачивая хакерам вознаграждения как на регулярной основе, так и на специальных конкурсах — например, Pwn2Own и Pwnium. Теперь Google решила пойти дальше, расширив свою программу вознаграждений и на проекты, которые не имеют отношения к интернет-корпорации, но обязательно должны быть открытыми. Пока компания составила ограниченный список утвержденных проектов на время пробного периода, а в дальнейшем, в случае успеха, планирует расширять этот список. Впрочем, речь идёт не совсем об уязвимостях, а об их исправлениях. Заинтересовались?

    Итак, текущий список таков:
    • Инфраструктурные сетевые проекты: OpenSSH, BIND, ISC DHCP
    • Парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
    • Открытые проекты под капотом Google Chrome: Chromium и Blink
    • Важные библиотеки: OpenSSL, zlib
    • Критичные к безопасности компоненты ядра Linux, включая KVM

    Уже составлен список проектов, которые будут добавлены немного позднее:
    • Веб-серверы: Apache, nginx, lighttpd
    • Популярные SMTP-серверы: Sendmail, Postfix, Exim
    • Улучшения безопасности тулчейнов GCC, binutils и llvm
    • OpenVPN


    ЧТО ДЕЛАТЬ, ГОВОРИ БЫСТРА!1


    1). Обнаружить уязвимость в одном из проектов (неожиданно, верно?)
    2). Написать патч, исправляющий эту уязвимость
    3). Отправить её в проект
    4). Дождаться верификации мейнтейнеров проекта (по внутренним правилам проекта).
    5). После того, как ваш патч будет включен в основную ветку проекта, писать письмо на security-patches@google.com с ссылками, описаниями и диффами вашей работы.
    6). Дождаться верификации ребят из Google Security Team, которые проверят ваши труды.
    7). В случае успешной верификации, вы можете получить вознаграждение от $500 до $3,133.7 USD. Налоги и прочие тонкости законодательств вашей страны — на вашей совести. Впрочем, если ваш патч просто невероятное произведение программерского искусства, то награды могут быть выше и ограничиваться лишь щедростью Google. Кроме того, награда может быть разделена, в случае если внедрение патча потребовало значительной работы от основной команды разработчиков проекта. В случае, если награда востребована не будет, то Google по своему усмотрению направит сумму на благотворительность.

    ЧаВо


    Если уязвимость уже была известна, и я её исправил, то могу я получить награду?
    В большинстве случаев — нет. Впрочем, если её исправление требовало нетривиальной работы, то такие патчи могут рассматриваться.

    Почему вы оплачиваете именно исправление уязвимостей, а не их обнаружение?
    Дело в том, что для большинства открытых проектов основной проблемой является не обнаружение уязвимостей, а их исправление, так как командам проектов часто не хватает либо кадров, либо времени. Поэтому исправление уязвимостей, по нашему мнению, куда важнее и ценнее.

    Зачем мой патч должен быть для начала включен в основную ветку проекта?
    1). Мы хотим, чтобы код патча соответствовал всем внутренним требованиям проекта
    2). Патч, который может никогда не оказаться в основной ветке, толком никому не нужен.

    Если я являюсь одним из основных разработчиков проекта, я могу участвовать в программе вознаграждений?
    В большинстве случаев — да.

    А кто будет решать, подходит мой патч для награды или нет?
    Команда Google Security.

    Я хочу сохранить анонимность своей работы, что можно сделать?
    Если у вас есть такое желание, то в случае верификации вашего патча, наша команда свяжется с вами по поводу тонкостей оплаты вашей работы, а также ваше имя не появится в зале славы Google.

    Источники:
    Объявление в блоге Google (англ.).
    Более подробные условия (англ.).
    Share post

    Similar posts

    Comments 21

      +14
      Если я являюсь одним из основных разработчиков проекта, я могу участвовать в программе вознаграждений?
      В большинстве случаев — да.
      1. Я, как разработчик, специально предусмотрел уязвимость, которая пошла в продакшн.
      2. Написал патч.
      3. ???
      4. Получил от $500 до $3,133.7
        +11
        Слишком палевно. Сам напортачил, сам исправил — ссзб. А вот предусмотрел дырку, сообщил о ней корешу, он от себя внёс патч, распилили на двоих 3133.7 — другое дело :)

        Если серьёзно, то не думаю, что в гугле там все дураки сидят, вся история изменений в публичных репах проектов есть, и понять, уязвимость была допущена с умыслом или нет, можно. Более того, злой умысел должен предпринять не один разработчик, а сразу несколько, учитывая контрольные схемы ревьюера, мейнтейнера и других.
          0
          Думаю все сводит на нет, то что проектам уже много лет. Но посмотрим, что будет дальше :-)
          +17
          1. Я, как разработчик, специально предусмотрел уязвимость, которая пошла в продакшн.
          вы гарантированно не один из основных разработчиков ЭТИХ проектов.
            +15
            Список проектов опубликован. Разработчики известны.
            И, имея многолетний опыт общения, пусть не с этими, уважемыми мной, авторами, но со многими участниками проектов с открытим кодом, могу предполагать, что за «от $500 до $3,133.7» они унижаться не будут.
            Не каждому дано понять побудительные мотивы обнародования результатов своего труда и передача его в безвоздмездное пользование людям.

            А Google, на мой взгляд, сделали хороший шаг.
            Надеюсь, не последний ;)
              +1
              Вау, разработчик OpenSSH на линии!
                0
                Наверное у каждого второго русского промелькнула эта мысль. Почему мы такие? Даже обидно…
                  +5
                  Говорите за себя. Не нужно дискредитировать нацию, обобщая наблюдения за парой человек.
                –5
                Главное теперь чтобы при таком подходе девелоперы не оставляли дыры в продуктах заранее, чтобы потом их пофиксить и лишние денежки получить)
                  +9
                  Вот Вы сперва «задевелопьте» что-нибудь уровня Nginx, отдайте его людям, за «просто так»,
                  а потом пересильте себя, заставьте себя написать хреново, реализуйте там такую уязвимость, чтобы и не заметно, и круто…
                  Я сильно сомневаюсь, чтобы человек, который в состоянии писать такой код,
                  который становится стандартом de-facto на планете, делал мелкие, гнидистые, подленькие закладки.
                  Это несовместимо… Альтруизм и гнидистость…
                  Попытайтесь выдавить из себя второе и взлелеять первое…
                  После того, как вы подарите свой продукт людям, а люди оценят его иначнут использовать _всемирно_,
                  и люди весьма-а-а-а высокой квалификации, не пионЭры, вот после этого попытайтесь заставить себя сделать закладку в коде, который с открытым исходником, который видят и могут просмотреть по диагонали специалисты, не слабее, а зачастую на порядок круче вас?
                  Ни за какие бумажки зеленого цвета вы не продадите уважение тех, кто будет использовать ваш код, кого вы уважаете больше, чем любого размера мешок тех бумажек…
                  Хотя, если у Вас в сознании поместилась возможность задать такой вопрос, там не поместится мой ответ.
                    +1
                    Я думаю люди которые способны писать вышеперечисленные проекты не плохо зарабатывают и свою репутацию гробить не хотят из-за копеек типо 500-3000 баксов.
                    –6
                    Ха, добавили бы в эту инициативу %сами знаете что% =)
                    • UFO just landed and posted this here
                      +2
                      Хитрый план. Имхо, так вычисляют интересных для Гугла программистов.
                        +5
                        Отличное начинание, которое позволит проектам избавляться от ошибок быстро. Правда странно, что за исправление известной уязвимости не платят — если уязвимость висит, то почему ее исправление не считается ценным (пусть и на минимальную сумму).
                          +2
                          Философски: А как понять, баг является уязвимостью или нет? А то этих багов...
                            +5
                            Примитивно, на пальцах…
                            Если ошибка приводит к тому, что программа делает не то, что планировалось, или то, что не планировалось, но не приводит к возможности «поиметь» систему, то это просто баг.
                            А вот если можно повысить привелегии процессу, внести изменения в систему, получить доступ к операционной системе на уровне пользователя или суперпользователя, считать данные, не предназанченные для этого, то это уже уязвимость.

                            Очень популяризирую, но будет понятно, надеюсь.
                            На академичность определения не претендую…
                            +2
                            Одному мне кажется, что ответы на пункты ЧаВо «Если уязвимость уже была известна, и я её исправил, то могу я получить награду?» и «Почему вы оплачиваете именно исправление уязвимостей, а не их обнаружение?» противоречат друг другу? Исправить важнее, чем найти, но за исправление уже известного платить скорее всего не будем.
                              0
                              Ну, как бы, ответ «В большинстве случаев — нет.» предполагает и «в меньшенстве случаев — да».
                              То есть, за обнаружение некоторых уязвимостей могут и заплатить… (Я ни чего ни кому не обещаю !!!)
                              Но устранение уязвимости, зачастую, на порядки сложнее обнаружения.
                              И это действительно требует высокой (если не высочайшей) квалификации, хотя и обнаружение, иногда, не для пацанов.
                              Полагаю, инициатива Google нацелена на стимулирование интереса подрастающего поколения к изучению исходных кодов «базовых» пакетов и в качестве одного из результатов ожидается приток молодых и энергичных учатников в проекты, где давно уже нужно подхватить падающие знамена из дряхлеющих рук.

                              IMHO ;)
                              +4
                              1337

                              Мило.
                                +2
                                31337 даже, «элит» же.

                              Only users with full accounts can post comments. Log in, please.