O Google já é conhecido por dar recompensas generosas a quem descubra e reporte vulnerabilidades nos seus produtos. Agora, vai expandir esse programa de forma a incluir vários projectos open-source que fazem parte da "fundação" de muitos produtos e serviços na web.
Poderá parecer estranho ver uma empresa recompensar quem encontre (e corrija) vulnerabilidades feitas em projectos que estão fora do seu controlo, mas facilmente se perceberá o motivo. Hoje em dia é praticamente impossível criar algo "de raiz" sem que se dê uso a blocos já existentes para acelerar o processo. Se alguém quer criar uma ligação segura poderá recorrer ao OpenSSH e OpenSSL, se quer exibir imagens utilizará o libjpeg, etc. etc.
Qualquer vulnerabilidade que afecte estes projectos imediatamente afectará milhares ou milhões de produtos e serviços que os utilizem.
Para já estas recompensas, que podem ir dos $500 aos $3,133.70, englobarão os seguintes projectos:
- OpenSSH, BIND, ISC DHCP.
- libjpeg, libjpeg-turbo, libpng, giflib.
- Chromium, Blink.
- OpenSSL, zlib.
- Componentes do Kernel Linux
- Apache httpd, lighttpd, nginx.
- Sendmail, Postfix, Exim.
- GCC, binutils, and llvm.
- OpenVPN
... Ainda espero o dia em que um projecto possa anunciar estar num estado "100% bug free"!
Existem projetos bug free, os que não são testados não contêm bugs :P
ResponderEliminar