Google wynagrodzi odkrywców luk w oprogramowaniu kluczowym dla bezpieczeństwa Sieci

Przyzwyczailiśmy się do tego, że producenci oprogramowania idostawcy usług płacą odkrywcom luk w ich kodzie. W trend ten wpisałsię ostatnio nawet Microsoft, przez wiele lat opierający sięwynagradzaniu niezależnych ekspertów, płacąc całe 100 tysięcy dolarówbadaczom z Context Security za odkrycie nowego sposobu obejściazabezpieczeń Windows 8.1. Google zamierza jednak pójść znacznie dalejw walce o zwiększenie bezpieczeństwa – będzie płaciło teraz zaodkrycia dotyczące luk w kodzie kluczowego dla Sieci oprogramowania.Pieniądze te nie będą jednak łatwe do uzyskania. Michał Zalewski,szef działu bezpieczeństwa Google, zapowiadając uruchomienie nowegoprogramu z nagrodami, wyjaśnia,że aby zakwalifikować się do nagród, trzeba będzie przygotowaćgruntowne, proaktywne poprawki, nie ograniczające się tylko donaprawienia znanej już usterki. [img=key-binary]Lista oprogramowania objętego tą szczególną opieką Google'a teżnie jest długa. Na początku znalazły się w niej kluczowe dla Sieciusługi, takie jak OpenSSH, DHCP i BIND, parsery obrazków takie jaklibjpeg czy libpng, mające znaczący wpływ na bezpieczeństwobiblioteki takie jak OpenSSL i zlib, a także niektóre związane zbezpieczeństwem komponenty jądra Linuksa, w tym hiperwizor KVM.Na tym jednak Google nie zakończy: lista ma być sukcesywniewydłużana, w przyszłości znajdą się na niej webserwery, takie jakApache czy nginx, demony poczty, klienty i serwery VPN, a nawetelementy linuksowego toolchaina (zestawu narzędzi do budowaniaoprogramowania), takie jak GCC, binutils czy LLVM. Nagrody będą takie same jak dla odkrywców luk w Chrome/Chromium –od 500 dolarów za proste, podstawowe luki, do 3133 dolarów i 70centów za odkrycia najbardziej wyrafinowanych usterek. Conajważniejsze jednak, przed przyznaniem nagrody, łatki muszą byćprzesłane bezpośrednio do opiekunów danego projektu i zaakceptowaneprzez nich. Google zadeklarowało, że będzie w ten sposób nagradzałonawet samych deweloperów wspomnianego oprogramowania, którzy wynajdąluki w swoim kodzie i go poprawią. Miejmy tylko nadzieję, że nie doprowadzi to do sytuacji, w którejzacznie powstawać celowo wadliwy kod, który później będzie możnaszybko poprawić i zgłosić do Google. Poza tym trudno cokolwiekinicjatywie Mountain View zarzucić – dodatkowe pieniądze (któremogą być, jeśli takie jest życzenie odkrywcy, przekazane na celedobroczynne), mogą tylko zachęcić do bardziej wnikliwego analizowaniakodu. Szkoda jedynie, że Google nie zdecydowało się objąć swojąopieką narzędzi związanych z bezpieczeństwem i prywatnością końcowychużytkowników, takich jak np. dm-crypt, TrueCrypt, Tor czy i2p –w erze masowej inwigilacji prowadzonej przez NSA byłoby to bardzoładnym gestem.