:

Szerző: Hlács Ferenc

2015. június 10. 10:30

Jócskán növeli a bugvadászok jutalmát a Mozilla

Növeli a tétet a Mozilla, a vállalat termékeinek biztonsági hibáit felfedező szakértők a kritikus sebezhetőségekért már akár 7500 dollárt is zsebre tehetnek. A cég emellett mostantól egyes közepes hibákért is oszt jutalmat, a felső határ itt 2500 dollár.

Rákapcsol a biztonsági szakértők motiválására a Mozilla, a vállalat több mint duplájára emeli a termékeiben talált, kritikus sebezhetőségekért kiosztható vérdíjat. A cég azt reméli, a jelentősen növelt jutalmak több fejlesztőt ösztönöznek majd, hogy felkutassák, illetve jelentsék az asztali, illetve androidos Firefox, a Thunderbird és a FirefoxOS biztonsági hibáit. A pénzjutalom mellett a sebezhetőségeket lefülelő szakértők nevét immár hivatalosan is bejelentett dicsőségtábláján is közzéteszi.

Ahogy a vállalat kapcsolódó blogposztjában írja, a program komolyan hozzájárult a böngésző védelmi vonalainak erősítésében, a hibákat levadászó fejlesztőknek a cég eddig összesen 1,6 millió dollárt osztott ki. A Mozilla legutóbb öt évvel ezelőtt növelte a jutalmak összegét, akkor a kritikus, illetve súlyos biztonsági résekért 3000 dollárt adott - a cég szerint azonban itt volt az ideje egy újabb emelésnek, a kategória díjai a korábbi maximumról, 3000 dollárról indulnak, azok felső határát pedig a vállalat 7500 dollárra tolta ki. A Mozilla ugyanakkor itt még nem áll meg: a kivételes, újfajta biztonsági rések megtalálóinak akár több mint 10 ezer dollárt is hajlandó fizetni.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét!

A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A 7500 dolláros összegre azok a szakértők pályázhatnak jó eséllyel, akik az adott hibát és annak kihasználási módjait részleteiben ismertetik. A cég itt példaként a más biztonsági rések használata nélküli, távoli kódfuttatást hozza fel. De nem csak a kritikus sebezhetőségek felfedezői örülhetnek, a Firefox fejlesztője ugyanis a jövőben az arra érdemesnek ítélt, közepes veszélyt jelentő hibák megtalálóinak is fizet, 500-2500 dollárig. A felfedezett sebezhetőségeket a hagyományos módon, a bugzilla.mozilla.org felületén lehet jelenteni, Bugzilla profil birtokában, és nem árt, ha a pályázók egy-egy példaesetet is mellékelnek a talált problémához.

A megtalált hibáknak persze néhány feltételnek meg kell felelniük: a biztonsági hiba valamiféle távolról kihasználható bug, a jogosultságok kiterjesztését okozó hiba vagy adatszivárgás kell legyen. A felfedező továbbá értelemszerűen nem lehet az adott, problémás kód alkotója, valamint a Mozilla vagy leányvállalatainak dolgozója - az sem meglepő továbbá, hogy a jutalom csak a korábban fel nem fedezett sebezhetőségekért jár. Ha egy csapat közösen jelent hibát, a vérdíjat a cég elosztja közöttük.

A vérdíjas rendszer számos vállalatnál jól bevált megoldás a biztonsági rések kiszűrésére, azt többek között a Google is jó ideje használja - sőt a keresőóriás, bár az egy-egy hibáért adható összegekből visszavett, idén februárban eltörölte az egy évben a területen maximálisan kiosztható pénzek felső határát. A rendszernek egyébként több előnye is van: egyrészt kvázi másodállást, bevételi forrást ad a profi és amatőr biztonsági szakértőknek, másrészt pedig az egyre tetemesebb összegekkel arra is motiválja őket, hogy a talált hibákat ne a feketepiacon értékesítsék - ahol egyébként szintén nagy a kereset a sebezhetőségekre.

Milyen technológiai és munkaerőpiaci hatások érhetik a backendes szakmát? Május 8-án végre elindul az idei kraftie! meetup-sorozat is (helyszíni vagy online részvétellel).

a címlapról

Hirdetés

Security témákkal folyatódik az AWS hazai online meetup-sorozata!

2024. április 26. 17:15

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.