compiling.ru

Google предлагает хакерам деньги за баги в Chrome

Новая поощрительная программа выявления уязвимости платит как минимум 500$ за существенные ошибки

Google теперь предлагает хакерам деньги за обнаружение уязвимостей в своем браузере Chrome – практика, уже внедренная на Mozilla.

Экспериментальная поощрительная программа предназначена для стимулирования исследователей вне проекта Chromium к обеспечению обратной связи в сфере безопасности для браузера. Google говорит, что будет платить 500$ за соответствующее обнаружение ошибки и $ 1337 за выявление особо тяжелых или сложных уязвимостей; одна ошибка может рассматриваться как несколько уязвимостей.

«Чем больше людей участвует при анализе кода и характера изменения Chromium, тем выше будет безопасность миллионов наших пользователей», – говорит Крис Эванс из отдела безопасности Google Chrome в своем блоге, представляя сегодня новую программу.

Google приписывает Mozilla идею предоставления вознаграждения за обнаружение уязвимости в своем программном обеспечении.

На этой неделе тема безопасности Chrome стояла для Google на переднем плане. Поисковый гигант в понедельник выпустил обновление к Chrome, содержащее исправления безопасности и новые возможности, включая усиление безопасности передачи и функцию защиты уязвимости межсайтового скриптинга – cross-site scripting (XSS).

Но практика предоставления премии за баги традиционно была и остается спорной, ее противники утверждают, что это посылает неверный сигнал, а сторонники говорят, что исследователи должны получать компенсацию за свои усилия по оказанию помощи производителям в деле выявления недостатков. Такие компании, как ZDI TippingPoint и iDefense уже некоторое время платят сторонним исследователям за их находки.

http://www.darkreading.com/vulnerability_management/security/app-security/showArticle.jhtml?articleID=222600506