Google wynagrodzi odkrywców luk w oprogramowaniu kluczowym dla bezpieczeństwa Sieci

Przyzwyczailiśmy się do tego, że producenci oprogramowania i dostawcy usług płacą odkrywcom luk w ich kodzie. W trend ten wpisał się ostatnio nawet Microsoft, przez wiele lat opierający się wynagradzaniu niezależnych ekspertów, płacąc całe 100 tysięcy dolarów badaczom z Context Security za odkrycie nowego sposobu obejścia zabezpieczeń Windows 8.1. Google zamierza jednak pójść znacznie dalej w walce o zwiększenie bezpieczeństwa – będzie płaciło teraz za odkrycia dotyczące luk w kodzie kluczowego dla Sieci oprogramowania.

Pieniądze te nie będą jednak łatwe do uzyskania. Michał Zalewski, szef działu bezpieczeństwa Google, zapowiadając uruchomienie nowego programu z nagrodami, wyjaśnia, że aby zakwalifikować się do nagród, trzeba będzie przygotować gruntowne, proaktywne poprawki, nie ograniczające się tylko do naprawienia znanej już usterki.

Lista oprogramowania objętego tą szczególną opieką Google'a też nie jest długa. Na początku znalazły się w niej kluczowe dla Sieci usługi, takie jak OpenSSH, DHCP i BIND, parsery obrazków takie jak libjpeg czy libpng, mające znaczący wpływ na bezpieczeństwo biblioteki takie jak OpenSSL i zlib, a także niektóre związane z bezpieczeństwem komponenty jądra Linuksa, w tym hiperwizor KVM.

Na tym jednak Google nie zakończy: lista ma być sukcesywnie wydłużana, w przyszłości znajdą się na niej webserwery, takie jak Apache czy nginx, demony poczty, klienty i serwery VPN, a nawet elementy linuksowego toolchaina (zestawu narzędzi do budowania oprogramowania), takie jak GCC, binutils czy LLVM.

Nagrody będą takie same jak dla odkrywców luk w Chrome/Chromium – od 500 dolarów za proste, podstawowe luki, do 3133 dolarów i 70 centów za odkrycia najbardziej wyrafinowanych usterek. Co najważniejsze jednak, przed przyznaniem nagrody, łatki muszą być przesłane bezpośrednio do opiekunów danego projektu i zaakceptowane przez nich. Google zadeklarowało, że będzie w ten sposób nagradzało nawet samych deweloperów wspomnianego oprogramowania, którzy wynajdą luki w swoim kodzie i go poprawią.

Miejmy tylko nadzieję, że nie doprowadzi to do sytuacji, w której zacznie powstawać celowo wadliwy kod, który później będzie można szybko poprawić i zgłosić do Google. Poza tym trudno cokolwiek inicjatywie Mountain View zarzucić – dodatkowe pieniądze (które mogą być, jeśli takie jest życzenie odkrywcy, przekazane na cele dobroczynne), mogą tylko zachęcić do bardziej wnikliwego analizowania kodu. Szkoda jedynie, że Google nie zdecydowało się objąć swoją opieką narzędzi związanych z bezpieczeństwem i prywatnością końcowych użytkowników, takich jak np. dm-crypt, TrueCrypt, Tor czy i2p – w erze masowej inwigilacji prowadzonej przez NSA byłoby to bardzo ładnym gestem.

Za: dobreprogramy.pl