Uruchomiony został właśnie program, w ramach którego Google zamierza płacić specjalistom ds. bezpieczeństwa za informacje o nieznanych wcześniej lukach w zabezpieczeniach przeglądarki Chrome. Za znalezione błędy odkrywcy otrzymają 500 USD nagrody. Za „nietypowe” luki 13337 USD.

Programem objęte zostaną luki znajdujące się zarówno w samej przeglądarce Chrome, jak i otwartym kodzie wykorzystywanym w projekcie Chromium. O jego uruchomieniu poinformował właśnie w oficjalnym blogu Chromium Chris Evans, jeden z członków zespołu odpowiedzialnego za bezpieczeństwo przeglądarki Google'a.

Google zamierza płacić za wszystkie nieznane wcześniej błędy wykryte w Chrome lub Chromium, a także w pluginach do tych aplikacji, firmowanych przez Google (czyli np. Google Gears). Na razie projekt nie dotyczy systemu operacyjnego Chrome OS. Evans nie wyklucza jednak, że z czasem program nagród zostanie rozszerzony również o to oprogramowanie. Priorytetowo będą traktowane luki o wysokim lub krytycznym statusie zagrożenia. Nie znaczy to jednak, że inne informacje nie będą rozpatrywane.

Liczymy na pomoc

"Mamy w Google całą masę świetnych programistów, próbujących całymi dniami włamywać się i szukać błędów w Chrome, ale wiemy, że na zewnątrz też jest sporo doskonałych fachowców. Chcemy, by nam trochę pomogli. Mamy świadomość, że zawsze można zrobić coś więcej" - tłumaczy przedstawiciel koncernu.

"Internet Explorer, Safari, Firefox - te przeglądarki są na rynku od lat. Ale Chrome to nowy zawodnik, który musi zostać porządnie sprawdzony. Nic dziwnego, że Google chce przyciągnąć uwagę specjalistów" - komentuje Pedram Amini, menedżer zespołu badawczego TippingPoint, działającego w koncernu 3M, który prowadzi najpopularniejszy obecnie program skupowania informacji o lukach w oprogramowaniu, czyli Zero Day Initiative (ZDI).

Jak twierdzi Amini, inicjatywa Google nie jest nowością. Już wcześniej inne firmy płaciły specjalistom za informacje o lukach w swoich produktach. Z pewnością jednak Google jest największym producentem oprogramowania, jaki do tej pory zdecydował się na taki krok.

Podobnie Mozilla

Podobną inicjatywę od 2004 roku prowadzi Mozilla. Organizacja płaci po 500 USD za każdy zgłoszony błąd w jej oprogramowaniu.

"Nagrody dają badaczom motywację. Jestem pewien, że jeśli ktoś zamierza szukać błędów w oprogramowaniu, to wybierze do tego aplikację, której producent obiecuje nagrody za każdy wykryty błąd. Takie rozwiązanie naprawdę działa" – twierdzi Amini.

Ponadto informuje, że w ramach projektu Zero Day Initiative do tej pory wykryto i jednocześnie nagrodzono, wiele błędów w przeglądarkach. "Nie wydaje nam się jednak, by działania Google były dla nas konkurencyjne. My do tej pory skupialiśmy się głównie na Internet Explorerze i Firefoksie (z uwagi na ich popularność), a także na Safari - bo to domyślna przeglądarka w Mac OS X, która na dodatek jest też standardem w iPhone'ie" - wyjaśnia przedstawiciel TippingPoint. Co ciekawe, z informacji, które przedstawił Amini wynika, że aż pięć z ośmiu załatanych ostatnio przez Microsoft błędów w IE, były to właśnie luki zgłoszone w ramach ZDI.

"Chrome to dla nas na razie nieznane terytorium. Nie zdecydowaliśmy jeszcze np. czy uwzględnić tę przeglądarkę podczas kolejnej edycji organizowanego przez nas podczas konferencji CanSecWest konkursy PWN2OWN" - wyjaśnia Pedram Amini. Uczestnicy PWN2OWN mają za zadanie w określonym czasie włamać się do komputerów z najróżniejszymi systemami operacyjnymi oraz aplikacjami dodatkowymi.

W ramach swojego programu Google nie zabrania specjalistom publikowania pełnych informacji o błędzie. Mogą oni to zrobić jednak dopiero po załataniu luki w Chrome. Dodatkowo Google musi jako pierwszy dowiedzieć się o problemie. W przypadku, kiedy błąd zostanie wcześniej ujawniony w inny sposób, jego odkrywca nie dostanie ani centa. W momencie, gdy zdarzy się, że dwie lub więcej osób odkryją niezależnie od siebie tę samą lukę, to obowiązuje zasada pierwszeństwa - kto pierwszy zgłosi ją koncernowi, ten dostanie nagrodę.

Źródło: internetstandard.pl