PVS-Studio и Bug Bounties on Free and Open Source Software

    PVS-Studio дарит багиЕвропейский союз стартовал в январе очередную большую охоту за ошибками в открытых программных проектах. Суммарный призовой фонд составляет около 850 тысяч евро. А теперь даём подсказку. Одним из способов поиска ошибок в исходном коде программ является использование статических анализаторов кода. Например, можно использовать для этих целей PVS-Studio, тем более что недавно был предложен новый вариант его бесплатного лицензирования для открытых проектов.

    Недавно нам прислали ссылку на следующую публикацию: "In January, the EU starts running Bug Bounties on Free and Open Source Software". Это интересная новость, и тема близка нам, так как мы регулярно занимаемся поиском ошибок, проверяя открытые проекты. В том числе, мы даже уже находили баги в некоторых из проектов, в которых согласно конкурсу, надо искать ошибки: Notepad++ (1, 2, 3), GNU C Library, 7-Zip.

    Тем не менее, заработать на этом у нашей компании не получится. Просто в силу того, что не понятно, как это можно сделать юридически. Да, в конкурсе могут принять участие наши сотрудники. Но они всё равно будут тогда выступать как частные лица. Собственно, если кто-то из них займётся этим в свободное время, то мы не против и желаем им удачи. Главное только, чтобы это их от основной работы не отвлекало :).

    И естественно, помимо наших сотрудников, поиском ошибок с помощью PVS-Studio может заняться любой желающий. Тем более это стало просто, если вы имеете дело с открытыми проектами. Предлагаю познакомиться со статьёй: "Бесплатный PVS-Studio для тех, кто развивает открытые проекты". И желаем всем удаче в охоте за багами!



    Если хотите поделиться этой статьей с англоязычной аудиторией, то прошу использовать ссылку на перевод: Andrey Karpov. PVS-Studio and Bug Bounties on Free and Open Source Software.
    • +30
    • 4,7k
    • 1
    PVS-Studio
    775,00
    Static Code Analysis for C, C++, C# and Java
    Поделиться публикацией

    Комментарии 1

      +2
      Собственно, если кто-то из них займётся этим в свободное время, то мы не против и желаем им удачи. Главное только, чтобы это их от основной работы не отвлекало :)

      Мне кажется, это странный подход. Во-первых, если ваш сотрудник найдёт реальный баг и получит баунти, это хороший маркетинговый результат. Одно дело теоретическая возможность, а другое — реальная проблема, которую авторы продукта посчитали достаточно значимой, чтобы оплатить. Этим вполне можно хвастаться. А во-вторых, это тестирование. Проверяя новые проекты всегда находишь, что бы улучшить в анализаторе. Где-то видишь ложную сработку и понимаешь, что её можно исключить статически. Где-то сработка нормальная, но сообщение о баге можно улучшить. Где-то вместо двух варнингов разумно выдать один, чтобы уменьшить количество шума. Поэтому мне кажется вполне допустимым, если сотрудники долю рабочего времени (например, до десяти процентов) тратить на поиск багов в проектах, возможно даже получая за это вознаграждение. Относитесь к этому как владелец ресторана относится к чаевым, которые получают официанты.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое