Google будет платить за исправление уязвимостей в других продуктах с открытым исходным кодом

image

Теги: Google, вознаграждение, уязвимость

Сначала программа будет распространяться только на OpenSSL и OpenSSH, BIND DNS, а также критически-важные компоненты безопасности в ядре Linux.

Google решила расширить рамки программы Security Bounty Program, добавив возможность получать вознаграждение за исправление уязвимостей в открытом коде программного обеспечения. При этом программе не обязательно быть продуктом Google.

Компания начала награждать разработчиков за предоставление исправлений брешей в продукции еще в 2010 году, представив Bounty Program для web-браузера Chrome. Сейчас в Google говорят, что готовы платить даже не за собственные программы.

Пытаясь объяснить рамки и требования к исправлениям, эксперт по информационной безопасности компании Михаль Залевски (Michal Zalewski) написал в блоге: «Мы решили попробовать что-то новое – предоставлять финансирование за практичные и превентивные улучшения, которое выходят за рамки обычного исправления известных брешей, существующих в системе».

Сначала программа будет распространяться только на определенные проекты с открытым кодом, к примеру, библиотеки OpenSSL и OpenSSH, BIND DNS, а также критически-важные компоненты безопасности в ядре Linux. Затем Google расширит рамки проектов, включив в них web-сервер Apache, серверы электронной почты Sendmail, Postfix и Exim, а также инструменты разработки ПО GNU.

По словам Залевски, компания выбрала избирательный подход, поскольку считает, что он будет более продуктивным, нежели вознаграждение за обнаруженные бреши в старом исходным коде с открытым доступом.

Специалист рекомендует ознакомиться с документами, которые предоставляют дополнительную информацию о вознаграждении, требованиях и других важных вещах.


или введите имя

CAPTCHA