A biztonsági rések utáni hajtóvadászat élére áll a Google

A Google egy jelentős lépésre szánta el magát a biztonsági kutatók ösztönzése érdekében, ugyanis jó néhány nyílt forráskódú szoftvert is bevont a jutalmazási rendszerébe.
 

A Google 2010 januárjában jelentette be, hogy a Chrome böngészőjének esetében fizetni fog a biztonsági hibák felfedezőinek. Ennek megfelelően a cég - a Mozilla mintájára - azokat a szakembereket kezdte díjazni, akik első kézből jeleztek számára különféle sérülékenységeket. A program oly annyira beváltotta a hozzá fűzött reményeket, hogy a Google többször kiterjesztette azt, így már a weboldalainak, webes alkalmazásainak és szolgáltatásainak kapcsán feltárt sebezhetőségek felfedezőit is anyagi elismerésben részesíti. 2012 áprilisában és idén nyáron pedig a pénzdíjakat emelte meg, amivel a legmagasabb kiérdemelhető összeg 7.500 dollárra kúszott fel a webes szolgáltatások esetében.

Kiterjesztett lehetőségek

A Google a legutóbbi bejelentése alapján az eddigieknél jóval szélesebb körben igyekszik támogatni a sebezhetőségek kutatását. A vállalat ugyanis jelezte, hogy a jutalmazási programját jelentős mértékben kibővíti, és abba olyan nyílt forráskódú szoftvereket is bevon, amelyeket nem ő maga fejleszt. Elsőként az alábbi alkalmazások, illetve szoftveres összetevők kerültek fel a Google listájára:

Hálózati megoldások: OpenSSH, BIND, ISC DHCP
Képkezelés: libjpeg, libjpeg-turbo, libpng, giflib
Chromium projekt: Chromium, Blink
Széles körben használt könyvtárak: OpenSSL, zlib
Linux kernel egyes összetevői, KVM

A Google jelezte, hogy a közeljövőben tovább fogja bővíteni a kezdeményezését a következőkkel:

Webszerverek: Apache httpd, lighttpd, nginx
SMTP-alkalmazások: Sendmail, Postfix, Exim
GCC, binutils és llvm
OpenVPN

Amikor egy biztonsági kutató ráakad a fenti alkalmazásokban, illetve összetevőkben egy sérülékenységre, akkor azt először az adott projekt fejlesztőinek kell jeleznie. Ők szemügyre veszik a bejelentést, és szükség esetén megteszik a védelmi intézkedéseket, befoltozzák a biztonsági rést, majd kiadják a frissítést. Ezt követően a kutató jelezheti a Google-nek a felfedezését, amelyet a vállalat szintén górcső alá vesz, és megvizsgálja, hogy a hiba valóban létezett-e, valamint megszületett-e hozzá a javítás. Ezt követően - a sérülékenység veszélyességének függvényében - minimum 500, maximum 3.133,7 dollárral jutalmazza a hibát feltáró szakembert.