Google अपने वेब उत्पादों और क्रोमियम में सुरक्षा दोषों का पता लगाने की आउटसोर्सिंग में अग्रणी में से एक बन गया है, जो नियमित रूप से और विशेष प्रतियोगिता में हैकर्स को पारिश्रमिक का भुगतान करता है - उदाहरण के लिए, Pwn2Own और Pwnium। अब Google ने अपने रिवार्ड प्रोग्राम को उन प्रोजेक्ट्स में आगे बढ़ाने का फैसला किया है जो इंटरनेट कॉर्पोरेशन से संबंधित नहीं हैं, लेकिन खुले होने चाहिए। अब तक, कंपनी ने परीक्षण अवधि के दौरान अनुमोदित परियोजनाओं की एक सीमित सूची तैयार की है, और भविष्य में, यदि सफल हो, तो इस सूची का विस्तार करने की योजना है। हालांकि, हम कमजोरियों के बारे में बात नहीं कर रहे हैं, लेकिन उनके सुधारों के बारे में। में रुचि रखते हैं?
तो वर्तमान सूची इस प्रकार है:
- इन्फ्रास्ट्रक्चर नेटवर्क प्रोजेक्ट्स: ओपनएसएसएच , बिंद , आईएससी डीएचसीपी
- छवि पार्सर्स: libjpeg , libjpeg- टर्बो , libpng , giflib
- Google क्रोम के क्रोम के तहत ओपन सोर्स प्रोजेक्ट्स: क्रोमियम और ब्लिंक
- महत्वपूर्ण पुस्तकालय: OpenSSL , zlib
- केवीएम सहित लिनक्स कर्नेल के सुरक्षा-महत्वपूर्ण घटक
परियोजनाओं की एक सूची पहले ही संकलित की जा चुकी है, जिसे थोड़ी देर बाद जोड़ा जाएगा:
- वेब सर्वर: अपाचे , नग्नेक्स , लाइटटैप
- लोकप्रिय SMTP सर्वर: Sendmail , Postfix , Exim
- GCC , बिनुटिल्स और llvm टूलचैन सुरक्षा संवर्द्धन
- OpenVPN
क्या करना है, जल्दी से! 1
1)। परियोजनाओं में से एक में भेद्यता का पता लगाएं (अप्रत्याशित रूप से, सही?)
2)। इस भेद्यता को ठीक करने वाला एक पैच लिखें
3)। इसे प्रोजेक्ट पर भेजें
4)। प्रोजेक्ट मेंटेनर्स (प्रोजेक्ट के आंतरिक नियमों के अनुसार) के सत्यापन की प्रतीक्षा करें।
5)। आपके पैच को प्रोजेक्ट की मुख्य शाखा में शामिल किए जाने के बाद, अपने काम के लिंक, विवरण और विवरण के साथ
security-patches@google.com पर एक पत्र लिखें।
6)। अपने काम को सत्यापित करने के लिए Google सुरक्षा टीम के लोगों की प्रतीक्षा करें।
7)। सफल सत्यापन के मामले में, आप
$ 500 से
$ 3,133.7 USD तक इनाम प्राप्त कर सकते हैं। आपके देश के कानून के कर और अन्य सूक्ष्मताएँ आपके विवेक पर हैं। हालांकि, यदि आपका पैच प्रोग्रामिंग कला का एक अविश्वसनीय टुकड़ा है, तो पुरस्कार केवल Google की उदारता से उच्च और सीमित हो सकते हैं। इसके अलावा, यदि परियोजना डेवलपर्स की कोर टीम से पैच को महत्वपूर्ण कार्य की आवश्यकता होती है, तो पुरस्कार को साझा किया जा सकता है। यदि पुरस्कार का दावा नहीं किया जाता है, तो Google अपने विवेक पर राशि दान में भेज देगा।
पूछे जाने वाले प्रश्न
यदि भेद्यता पहले से ही ज्ञात थी, और मैंने इसे ठीक कर दिया, तो क्या मुझे इनाम मिल सकता है?ज्यादातर मामलों में, नहीं। हालांकि, यदि इसके सुधार में गैर-तुच्छ काम की आवश्यकता होती है, तो ऐसे पैच पर विचार किया जा सकता है।
आप कमजोरियों को ठीक करने के लिए भुगतान क्यों करते हैं, न कि उनका पता लगाने के लिए?तथ्य यह है कि अधिकांश खुली परियोजनाओं के लिए, मुख्य समस्या कमजोरियों का पता लगाने के लिए नहीं है, लेकिन उनका निर्धारण है, क्योंकि परियोजना टीमों में अक्सर पर्याप्त कर्मी या समय नहीं होता है। इसलिए, हमारी राय में, कमजोरियों को ठीक करना, अधिक महत्वपूर्ण और अधिक मूल्यवान है।
मेरे पैच को परियोजना की मुख्य शाखा में क्यों शामिल किया जाना चाहिए?1)। हम चाहते हैं कि पैच कोड परियोजना की सभी आंतरिक आवश्यकताओं को पूरा करे
2)। किसी को वास्तव में एक पैच की आवश्यकता नहीं है, जो मुख्य शाखा में कभी नहीं हो सकता है।
यदि मैं परियोजना के मुख्य डेवलपर्स में से एक हूं, तो क्या मैं पुरस्कार कार्यक्रम में भाग ले सकता हूं?ज्यादातर मामलों में, हाँ।
और कौन तय करेगा कि मेरा पैच इनाम के लिए उपयुक्त है या नहीं?Google सुरक्षा टीम।
मैं अपने काम को गुमनाम रखना चाहता हूं, मैं क्या कर सकता हूं?यदि आपकी ऐसी इच्छा है, तो आपके पैच के सत्यापन के मामले में, हमारी टीम आपसे आपके काम के भुगतान की पेचीदगियों के बारे में संपर्क करेगी, और आपका नाम Google हॉल ऑफ फ़ेम में नहीं दिखाई देगा।
स्रोत :
Google ब्लॉग घोषणाअधिक विस्तृत शब्द ।