Google bude za chyby platit víc, Microsoft nic

2. 8. 2010

Sdílet

Google zareagoval na to, že Mozilla zvýšila odměny za nalezení bezpečnostních chyb ve Firefoxu. Google bude nyní za zranitelnosti v Chrome vyplácet maximum 3 133,7 dolarů. Mozilla platí až 3 000 dolarů.

Viz také: Mozilla zvyšuje odměny za hledání chyb ve Firefoxu

 

Chris Evans z bezpečnostního týmu Googlu uvedl, že maximální částka se bude ovšem vyplácet jen za chyby největší závažnosti umožňující vzdálené spuštění kódu. Evans uvádí, že díky technologii sand boxu je objev takové zranitelnosti velmi obtížný – a proto si zaslouží vyšší finanční ocenění. Většina chyb v prohlížeči díky jeho izolaci od zbytku systému neumožňuje reálné zneužití. Za méně závažné chyby se bude i nadále standardně platit 500 dolarů.

Google svůj program odměn spustil v lednu a od té doby společnosti zaplatila za objevené chyby v Chrome necelých 15 000 dolarů.

 

Americký Computerworld cituje analytiky, kteří uvažují o možnosti, že v souvislosti s odměnami za chyby v softwaru dojde i k cenové válce. Lépe než Mozilla a Google platí za bezpečnostní zranitelnosti TippingPoint (program Zero Day Initiative) a VeriSign iDefence (program Bounty). Je otázkou, zda odměny lze „sčítat“, tj. např. chybu reportovat na více míst. Mozille ani Googlu se taková varianta přirozeně nelíbí, i když jejich konečná politika není v tomto ohledu dosud jasná.

Naopak Microsoft opět zopakoval, že přímé finanční odměňování bezpečnostních výzkumníků firma nepokládá za optimální cestu a za nalezené zranitelnosti platit nebude. Někteří analytici se tomuto přístupu ale diví – pro Microsoft by šlo celkově o zanedbatelné náklady a přece jen by se tak snížila pravděpodobnost, že informace namísto reportování výrobci nějak unikne do „šedé zóny“. Několik bezpečnostních výzkumníků současně přišlo s iniciativou, jejíž členové by informace o zranitelnostech zveřejňovali výhradně za úplatu.

 

ICTS24

Poznámka: nové maximum Googlu 3 133,7 je podobně jako předcházející hodnota 1 337 odvozena z geekovského slangu.