Googleは、Web製品およびChromiumのセキュリティ欠陥の検出の一種のアウトソーシングの先駆者の1つになり、定期的および特別なコンテスト(Pwn2OwnやPwniumなど)の両方でハッカーに報酬を支払っています。 現在、Googleは、報酬プログラムをインターネット企業とは関係のないオープンなプロジェクトに拡大することにより、さらに前進することを決定しました。 これまでのところ、同社は試用期間中に承認されたプロジェクトの限られたリストをまとめており、将来、成功した場合、このリストを拡大する計画を立てています。 ただし、脆弱性についてではなく、それらの修正について説明しています。 に興味がありますか?
したがって、現在のリストは次のとおりです。
- インフラストラクチャネットワークプロジェクト: OpenSSH 、 BIND 、 ISC DHCP
- 画像パーサー: libjpeg 、 libjpeg-turbo 、 libpng 、 giflib
- Google Chromeの内部にあるオープンソースプロジェクト: ChromiumとBlink
- 重要なライブラリ: OpenSSL 、 zlib
- KVMを含むLinuxカーネルのセキュリティクリティカルなコンポーネント
プロジェクトのリストは既にコンパイルされており、少し後で追加されます。
- Webサーバー: Apache 、 nginx 、 lighttpd
- 人気のあるSMTPサーバー: Sendmail 、 Postfix 、 Exim
- GCC 、 binutils 、およびllvmツールチェーンのセキュリティ強化
- Openvpn
何をすべきか、すぐに話す!1
1)。 プロジェクトの1つで脆弱性を検出します(予想外ですよね?)
2)。 この脆弱性を修正するパッチを作成してください
3)。 プロジェクトに送信する
4)。 プロジェクトのメンテナーの検証を待ちます(プロジェクトの内部規則に従って)。
5)。 パッチをプロジェクトのメインブランチに含めた後、作業のリンク、説明、差分を添えて
security-patches@google.comに手紙を書いてください。
6)。 Googleセキュリティチームのメンバーが作業を確認するのを待ちます。
7)。 確認に成功した場合、
500 ドルから3,133.7米
ドルの報酬を受け取ることができます。 あなたの国の法律の税金とその他の微妙な点はあなたの良心にかかっています。 しかし、パッチがプログラミングアートの信じられないほど素晴らしい作品である場合、報酬はGoogleの寛大さによってのみ高くなり、制限されます。 さらに、パッチの実装にプロジェクト開発者の中核チームによる重要な作業が必要な場合、賞を共有できます。 賞が請求されない場合、Googleはその裁量により、その金額を慈善団体に送ります。
よくある質問
脆弱性がすでにわかっていて、それを修正した場合、報酬を得ることができますか?ほとんどの場合、いいえ。 ただし、その修正に重要な作業が必要な場合は、そのようなパッチを検討できます。
なぜ脆弱性を検出するためではなく、脆弱性を修正するために支払うのですか?実際、ほとんどのオープンプロジェクトの主な問題は、脆弱性の検出ではなく、プロジェクトチームに十分な人員や時間がないことが多いため、それらを修正することです。 したがって、私たちの意見では、脆弱性を修正することはより重要で価値があります。
私のパッチをプロジェクトのメインブランチに含める必要があるのはなぜですか?1)。 パッチコードがプロジェクトのすべての内部要件を満たすようにする
2)。 誰も本当にパッチを必要としません。それはメインブランチには決してないかもしれません。
私がプロジェクトの主な開発者の1人である場合、報酬プログラムに参加できますか?ほとんどの場合、はい。
そして、私のパッチが報酬に適しているかどうかは誰が決めるのでしょうか?Googleセキュリティチーム。
仕事を匿名にしたいのですが、どうすればよいですか?このような要望がある場合は、パッチの検証の際に、チームが作業の支払いの複雑さについて連絡し、Googleの殿堂にあなたの名前は表示されません。
ソース :
Googleブログのお知らせより詳細な用語 。