2013年10月17日09:24
【相关新闻】
谷歌10月9日宣布,将启动旨在提高产品安全性的新计划“Patch Rewards”(补丁奖励)。据悉,为了减少开源软件(OSS)的漏洞、使其变得更加可靠,谷歌将征集可作为实际预防对策使用的补丁,而非简单的BUG报告。
据谷歌安全团队的Michal Zalewski介绍,谷歌最初曾考虑设立与“Vulnerability Reward Program”(向发现并报告该公司应用漏洞的人士支付奖金的计划)相同的OSS漏洞信息奖励制度,但预计“会收集到大量与有价值的报告混杂在一起的不确切的信息,导致志愿者组成的小团队应付不过来”,因此决定征集发现漏洞后应该采取的应对措施。
Patch Rewards将分阶段开展,最初的对象是核心基础设施的网络服务(OpenSSH、BIND和ISC DHCP等)、核心基础设施的图像解析器(libjpeg、libjpeg-turbo、libpng和giflib等)、基于“Chrome”浏览器的开源项目(Chromium和Blink等)、影响力较大的数据库(OpenSSL和zlib等)、频繁使用的Linux内核组件(KVM等)。
另外,还将在短期内将对象扩大至Web服务器(Apache httpd、lighttpd和nginx等)、主要的SMTP服务(Sendmail、 Postfix和Exim等)、虚拟专用网(OpenVPN等)和工具链(GCC、binutils和llvm等)的安全强化。
对于申请Patch Rewards的补丁,如果能够得到证实而且被认可为重要有效的预防对策,就会获得500美元至3133.7美元的奖金。(作者:铃木英子,日经技术在线!供稿)
