Googles dusørordning for programvaresårbarheter ser ut til å virke. Også enkelte andre aktører, blant annet Microsoft, har senere kommet med lignende ordninger. (Bilde: PantherMedia/Ryan Jorgensen og digi.no)

Google lover mer dusør

Belønner sikkerhetsbidrag til andres åpen kildekode.

Google har siden begynnelsen av januar 2010 utbetalt belønning til personer som oppdager alvorlige sårbarheter i nettleseren Chrome og varsler selskapet om dette på en ansvarsfull måte. Senere har ordningen blitt utvidet til å gjelde også Google Wallet og en rekke av selskapet webbaserte tjenester.

Størrelsen på dusørene varierer mye, alt etter hvor alvorlig eller avansert sårbarheten som oppdages, vurderes å være. Fra starten av var dusøren på 500 dollar. Senere har Google utbetalt dusører på mer enn 30 000 dollar.

Denne uken kunngjorde Google at ordningen skal utvides til også å gjelde et lite utvalgt åpen kildekode-programvare som Google sannsynligvis bruker, men hvor prosjektene ikke er ledet av selskapet.

Først

I første omgang er de følgende inkludert: OpenSSH, BIND, ISC DHCP, libjpeg, libjpeg-turbo, libpng, giflib, OpenSSL, zlib. Dessuten Chromium og Blink, som Chrome bygger på. I tillegg inkluderes sikkerhetskritiske og vanlig brukte komponenter i Linux-kjernen.

Men denne nye dusørordningen vil ikke fungere helt som de eksisterende, hvor varslerne forteller om sårbarheter og hvordan de kan demonstreres, men deretter stopper der. Google vet dessuten av erfaring at slike ordninger fører til en del uønsket trafikk som kan være vanskelig å håndtere for et lite fellesskap av frivillige.

– På toppen av dette er kreves det ofte mer innsats å fikse et problem enn å finne det, skriver selskapet.

Kode

Dusørene vil derfor bli utbetalt til personer som har bidratt med og fått akseptert kode til et gitt prosjekt, dersom Google vurderer det slik at bidraget medfører positiv innvirkning på sikkerheten til prosjektet, og at dette kan demonstreres. Størrelsen på dusørene vil variere mellom 500 og 3113,7 dollar. Detaljene er oppgitt her.

Dersom den nye ordningen viser seg å fungere etter hensikten, vil den utvides til å dekke også en rekke andre prosjekter. Dette inkluderer webserverne Apache httpd, lighttpd og nginx, e-postserverne (SMTP) Sendmail, Postfix og Exim, utviklerverktøyene GCC, binutils og llvm, samt OpenVPN.

    Les også:

Til toppen