Firmy nabízí společné odměny za hledání chyb

Společnosti Microsoft a Facebook se rozhodly společně sponzorovat nový program, který bude vývojářům, expertům, ale i běžným uživatelům vyplácet odměnu za chyby nalezené ve známých programech.

Firmy nabízí společné odměny za hledání chyb


Členy komise, jež bude posuzovat jednotlivé návrhy, budou lidé z Facebooku, Googlu, Microsoftu a několika dalších společností, kteří se již obdobných programů v minulosti účastnili. „Náš cíl je jednoduchý – chceme, aby internet byl lepším místem pro všechny uživatele,“ stojí v oficiálním prohlášení na hackerone.com, což je webová stránka, jež nový program hostuje. V rámci akce budou odměňovány chyby a zranitelnosti nalezené ve vývojářských jazycích Python, Ruby, PHP a Perl; vývojářských nástrojích a frameworcích Django, Ruby on Rails a Phabricator, webových serverech Apache a Nginx a sandboxu Google Chrome, Internet Exploreru, Adobe Readeru a Flash Playeru.

Odměněno bude také objevení bezpečnostní chyby, která postihuje jiný software, jenž je na trhu uživateli hojně využíván. Mezi příklady bezpečnostních rizik vývojáři na hackerone.com uvedli například útok BEAST proti SSL a DNS cache, který v roce 2008 objevil Dan Kaminsky. Odměny budou závislé na závažnosti nahlášené chyby a softwaru, který postihuje. Například odměna za zranitelnosti v Phabricatoru bude začínat na 300 dolarech a může dosáhnout až desetinásobku této částky, za zranitelnosti objevené v sandboxu internetových protokolů lze pak získat minimálně pět tisíc dolarů. Konkrétní sumu vždy přisoudí komise. Pokud by se vývojář rozhodl spolu s popisem chyby zaslat i opravu, bude odměna dvojnásobná. Nový program není adresován pouze bezpečnostním expertům, ale komukoli, kdo objeví chybu/zranitelnost v softwaru. V současné době vyplácení odměn sponzoruje pouze Microsoft a Facebook.

Podobnou iniciativu minulý měsíc spustil také Google, který se rozhodl platit za zranitelnosti nalezené ve známých open-sourcových aplikacích a softwarových knihovnách jako OpenSSL, OpenSSH, BIND, libjpeg, libpng a dalších. To je asi také důvodem, proč Google odměnu v rámci programu HackerOne nesponzoruje, i když Chris Evans, člen Google Chrome Security Teamu, je součástí komise HackerOne.

Dva obdobné programy pro své produkty v červnu tohoto roku spustil také Microsoft, platí však za to, že mu experti zašlou nové obranné techniky či metody zneužití kódu, jež umí obejít současnou ochranu. V pondělí společnost jeden z těchto programů rozšířila tak, že vyplácí peníze i nové útočné techniky. Microsoft do června také provozoval klasický program odměn, v rámci kterého platil za chyby objevené v Internet Exploreru 11. Finanční odměny za nalezení chyb zavedla také společnost Yahoo.

Úvodní foto: © auryndrikson - Fotolia.com










Komentáře