伊莉討論區

標題: Google抓漏獎勵擴大到非Google的開放源碼計畫 [打印本頁]

作者: hoya1111    時間: 2013-10-11 11:18 AM     標題: Google抓漏獎勵擴大到非Google的開放源碼計畫

對於第三方開放源碼軟體的獎勵方式,Google有嚴格的規定,不只要發現漏洞或只是簡單的修補程式,還要有實質以及預先完成的安全改進措施等符合條件的貢獻,例如改進權限的分割,或是強化記憶體配置等。

為了提高整個網路世界的總體安全,Google宣布將其抓漏獎金計畫擴大到非Google的其他開放源碼軟體上,開始為特定的開放源碼計畫提供500 至3,133.7美元不等的安全改進獎勵金。

2010年開始Google針對Chrome提出抓漏獎勵計畫,並陸續將該計畫擴大到其他的Google產品。現在Google也將獎勵計畫擴大到不屬於Google管轄的一些開放源碼計畫。

對於第三方開放源碼軟體的獎勵方式,Google有嚴格的規定,不只要發現漏洞或只是簡單的修補程式,還要有實質以及預先完成的安全改進措施等符合條件的貢獻,例如改進權限的分割,或是強化記憶體配置等,Google並在獎勵規則裡詳列了相關條件。

Google安全小組Michal Zalewski表示,先前曾經考慮過就直接為OSS推出一個抓蟲活動,但這方式很可能適得其反。抓漏獎金除了可能得到一些有效的報告之外,還會引來大量不相關的流量而淹沒了原本就為數不多的志工社群。

Google打算逐步推出並擴大該計畫,目前被納入計畫的有五項:一是核心基礎網路服務OpenSSH、BIND、ISC DHCP。二是核心基礎圖像解析器libjpeg、libjpeg-turbo、libpng、giflib。三是Google Chrome的開放源碼基金會,包括Chromium及Blink。四為其他高影響力的涵式庫OpenSSL、zlib。最後則是Linux核心(含KVM)中屬高度安全優先且使用普遍的元件。

而接下來預計很快會被納入該計畫的有四項。一是廣被使用的網頁伺服器包括Apache httpd、lighttpd、nginx。其次是廣受歡迎的SMTP服務,包括Sendmail、Postfix、Exim。三是GCC、binutils及llvm的工具鏈安全改進。最後是虛擬私密網路OpenVPN。

Google表示,未來會根據開發者社群所提交的回應品質,逐步擴大計畫範圍。安全研究人員可將修補程式直接提交給個別計畫的維護者,一旦提交成功被接受之後可以透過security-patches@google.com連絡Google,只要Google認為你的確能夠證明你所提交的東西對於那些計畫的確有安全上的改進,那麼就可得到500至3,133.7美元不等的獎勵金。詳情可參考Google的說明專頁

Michal Zalewski表示,我們所有人都受益於開放源碼社群志工的驚人成就,因此一直在自問:如何推出一個可行的「漏動獎勵計畫」(Vulnerability Reward Program)模式,藉以改進重要的第三方軟體安全,讓整個網路世界更加健康。


作者: b711221jim    時間: 2013-10-12 12:22 PM

GOOGLE真的不錯喔,這點是微軟追不上的
作者: seed25566    時間: 2013-10-13 05:37 AM

Google這方面倒是比微軟嚴格阿





歡迎光臨 伊莉討論區 (http://a401.file-static.com/) Powered by Discuz!