Szerző: Bodnár Ádám

2013. október 14. 15:36:00

Elit pénzjutalmat ajánl a nyílt szoftverek fejlesztőinek a Google

Nem újdonság a Google-nél, hogy "vérdíjat" fizet a szoftvereiben biztonsági hibákat találó programozók számára, a Chrome és a különféle webes alkalmazások esetében a módszer évek óta működik. A vállalat most ezt a programot kiterjeszti közösségi fejlesztésű szoftverekre is.

Számos nyílt forrású szoftverre terjeszti ki a Google a "bug bounty" programját, amelynek keretében egészen komoly összegeket fizet ki a biztonsági hibák megtalálóinak. A vállalat a Linux kernelt és az alacsony szintű szolgáltatásait vette célba mostani kezdeményezésével, a cél ezeknek, a Google számára több szempontból is fontos szoftvereknek a javítása. Amint az ismert, a Google saját adatközpontjaiban is Linuxot használ, és a szabad operációs rendszerre épül a vállalat mobil platformja, az Android is.

Nem egyszerű hibajavításokat jutalmaznak

"Arra gondoltunk, indítunk egy OSS hibakereső kezdeményezést, de ez a megközelítés könnyen a visszájára fordulhat. A megalapozott hibajelentések mellett a pénzdíjak hatalmas mennyiségű értéktelen forgalmat is generálnak, elég nagyot ahhoz, hogy teljesen ellehetetlenítsenek egy kis csapat önkéntest. Ráadásul egy hibát kijavítani gyakran sokkal nagyobb feladat mint megtalálni" - írja a Google biztonsági csapat blogján Michael Zalewski.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

"Végül úgy döntöttünk, valami újjal próbálkozunk: pénzjutalmat ajánlunk a két lábbal a földön járó, proaktív javításoknak, amik tovább mennek annál, mint hogy egy ismert biztonsági hibát javítsanak. Ha biztonságosabb allokátorra váltanál, be szeretnéd vezetni a jogosultságok szétválasztását, tisztába szeretnél tenni egy csomó kusza strcat() hívást, vagy be akarod építeni az ASLR-t, mi segíteni akarunk."

A Google elsőként a Linux kernel biztonsági szempontból kritikus, széles körben használt részeire (pl. KVM), a hálózati infrastruktúrára (OpenSSH, BIND, ISC DHCP), a képfeldolgozásra (libjpeg, libjpeg-turbo, libpng, giflib), a Chrome nyílt forrású alapjaira (Chromium, Blink), valamint a vállalat által "nagy jelentőségűnek" nevezett két könyvtárral (OpenSSL, zlib) szorítkozik a pénzdíjak kiadásánál, de később ki fogja terjeszteni azt más nyílt forrású projektekre is. A cég blogjában már szerepel a második körben várható projektek listája, köztük vannak az elterjedtebb nyílt forrású webszerverek (Apache httpd, lighthttpd, nginx), SMPT-szolgáltatások (Sendmail, Postfix, Exim), az OpenVPN, illetve nyílt fejlesztői eszközök (GCC, llvm, binutils) biztonsági javításai.

Akár 3133,7 dolláros jutalom

A Google weboldalán részletes szabályzat olvasható arról, pontosan milyen javításokkal lehet a pénzdíjakra pályázni. Ezek közül az egyik legfontosabb, hogy csak olyan kódot fogadnak be a bírálók, amely valóban bekerül az adott szoftverbe, ezzel egyfelől valamiféle biztosítékot szerez a Google  a patch minőségéről, másfelől pedig a javítás hasznáról - egy hivatalosan soha ki nem adott patch nem sokat segít. A javítások elbírálása ebből a szempontból nem a Google feladata, hanem az adott nyílt forrású projekt karbantartóinak felelőssége. A patcheket tehát először a karbantartóknak kell elküldeni, és ha ők befogadták, majd a kód a termék részévé vált, lehet értesíteni a Google-t.

A vállalat a pénzdíj összegét saját hatáskörben dönti el. A kiírás szerint ez 500 dollár és 3133,7 dollár közé esik, de váratlanul jó ötlet esetén akár az elit összegnél magasabb is lehet. Ugyanakkor a Google fenntartja magának a jogot arra, hogy a patch beküldője és az adott projekt karbantartója között ossza fel a díjat, például amennyiben a javítás elkészítéséhez és megjelenéséhez a kód más részeit is alaposan módosítani kell.

a címlapról