Google comienza a ofrecer recompensas económicas para los parches de seguridad proactivos hechos para proyectos de código abierto

google-bounty

Google hoy comenzó a ofrecer incentivos financieros para mejoras proactivas en el software de código abierto (OSS) que van más allá de la mera fijación de un fallo de seguridad conocido. Los montos oscilan actualmente entre u$s 500 y u$s 3,133.70.

Google dice que estará lanzando el programa poco a poco, la velocidad de la que se determine en la calidad de las propuestas recibidas y los comentarios de la comunidad de desarrolladores. El alcance inicial es  limitado a los siguientes proyectos:

  • Principales servicios de la red de infraestructura: OpenSSH, BIND, ISC DHCP.
  • Infraestructura principal imagen analizadores: libjpeg, libjpeg-turbo, libpng, giflib.
  • Bases de código abierto de Google Chrome: Chromium, Blink.
  • Otras bibliotecas de alto impacto: OpenSSL, zlib.
  • Los componentes más críticos utilizados del kernel Linux (incluyendo KVM).

Pronto (no dijo cuándo exactamente), la compañía ampliará el programa a:

  • Servidoresweb usados masivamente: Apache httpd, lighttpd, nginx.
  • Servicios SMTP populares: Sendmail, Postfix, Exim.
  • Mejoras de seguridad sobre las herramientas de GCC, binutils y llvm.
  • Redes privadas virtuales: OpenVPN.

En otras palabras, Google está tratando de llevar su Programa de Recompensas de vulnerabilidades  al mundo del software libre con la esperanza de mejorar la seguridad del software de terceros, crítica para la salud de toda la Internet.

Google dice que jugó con la idea de lanzar un programa de caza de bugs en OSS , pero dijo que el enfoque podría “ser contraproducente.” A la compañía le preocupaba que recompensas de errores generales conducirían a un importante volumen de tráfico no esencial que puede abrumar a una pequeña comunidad de voluntarios, por no hablar de encontrar errores es sólo la mitad del trabajo (Google quiere cazadores de errores para realmente solucionar los problemas que encuentran).

Si usted está interesado, dele un vistazo a las reglas , envíe su parche directamente a los encargados de los proyectos individuales, y luego una vez que se acepta y se combina con el depósito, enviar todos los detalles pertinentes a security-patches@google.com.

Fuentes:

Traducción de artículo original TheNextWeb

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s