2013年10月17日09:24
【相關新聞】
谷歌10月9日宣布,將啟動旨在提高產品安全性的新計劃“Patch Rewards”(補丁獎勵)。據悉,為了減少開源軟件(OSS)的漏洞、使其變得更加可靠,谷歌將征集可作為實際預防對策使用的補丁,而非簡單的BUG報告。
據谷歌安全團隊的Michal Zalewski介紹,谷歌最初曾考慮設立與“Vulnerability Reward Program”(向發現並報告該公司應用漏洞的人士支付獎金的計劃)相同的OSS漏洞信息獎勵制度,但預計“會收集到大量與有價值的報告混雜在一起的不確切的信息,導致志願者組成的小團隊應付不過來”,因此決定征集發現漏洞后應該採取的應對措施。
Patch Rewards將分階段開展,最初的對象是核心基礎設施的網絡服務(OpenSSH、BIND和ISC DHCP等)、核心基礎設施的圖像解析器(libjpeg、libjpeg-turbo、libpng和giflib等)、基於“Chrome”瀏覽器的開源項目(Chromium和Blink等)、影響力較大的數據庫(OpenSSL和zlib等)、頻繁使用的Linux內核組件(KVM等)。
另外,還將在短期內將對象擴大至Web服務器(Apache httpd、lighttpd和nginx等)、主要的SMTP服務(Sendmail、 Postfix和Exim等)、虛擬專用網(OpenVPN等)和工具鏈(GCC、binutils和llvm等)的安全強化。
對於申請Patch Rewards的補丁,如果能夠得到証實而且被認可為重要有效的預防對策,就會獲得500美元至3133.7美元的獎金。(作者:鈴木英子,日經技術在線!供稿)
