Incremente sua infra-estrutura
Google está expandindo seu programa de recompensas bug para incluir prêmios para os patches que fazem melhorias de segurança materiais para software de código aberto - mesmo quando o software não for mantida diretamente pelo próprio Google.
A Fantástica Fábrica de Chocolate foi desenvolvedores gratificante para correções de segurança para o seu próprio software desde 2010, quando começou seu programa de recompensa para o navegador Chrome. Agora, a empresa diz que também irá desembolsar dinheiro para os desenvolvedores que submetem correções para selecionar software não-Google, também.
Para se qualificar para o programa, os desenvolvedores devem produzir "terra-a-, melhorias proativas que vão além de simplesmente corrigir um bug de segurança conhecidos", de acordo com um post no blog por membro da equipe de segurança do Google Michal Zalewski na quarta-feira.
Inicialmente, o programa de recompensas se aplica apenas a um grupo seleto de projetos de código aberto, como o OpenSSL e OpenSSH seguras bibliotecas de comunicação, o software BIND DNS, e os componentes de segurança crítica do kernel do Linux, para citar alguns.
Depois de um período experimental inicial, ele será expandido para incluir ainda mais projetos, incluindo tais pacotes populares como o servidor web Apache, o Sendmail, Postfix, e servidores de e-mail Exim, e as ferramentas de desenvolvimento de software GNU.
Zalewski disse que o Google escolheu essa abordagem seletiva, pois acredita que será mais produtivo do que oferece recompensas por bugs apenas qualquer software antigo código aberto.
"Além de relatos válidos, generosidades bugs convidar um volume significativo de tráfego espúrio - o suficiente para submergir completamente uma pequena comunidade de voluntários", escreveu ele. "Além de tudo isso, a fixação de um problema muitas vezes requer mais esforço do que encontrá-lo."
Além de ponying o dinheiro, a abordagem do Google será principalmente hands-off. Os desenvolvedores não precisam limpar suas correções com Mountain View antes de enviar seus patches. Em vez disso, eles devem enviá-los diretamente para os mantenedores dos projetos em questão. Uma vez que os patches são aceitos eo código atualizado vendeu, eles podem enviar e-mail security-patches@google.com com uma descrição do que eles fizeram.
"Se pensarmos que a apresentação tem um impacto visível e positivo sobre a segurança do projeto, você irá beneficiar de uma recompensa que varia de $ 500 a US $ 3,133.7," Zalewski escreve.
Na verdade, o gigante de publicidade online pode optar por desembolsar ainda mais em casos de "observações extraordinariamente inteligentes ou complexas" - a quantidade real de cada prêmio a ser deixado para exclusivo critério da Google.
Então, novamente, alguns desenvolvedores podem optar por contribuir com patches de segurança estritamente fora de um senso de dever. Nestes casos, o Google diz que eles podem optar por doar os seus prémios de recompensa para a caridade e vai coincidir com suas doações. Recompensas que não tenham sido reclamados após 12 meses será doado para uma instituição de caridade de escolha do Google. ®
Nenhum comentário:
Postar um comentário