Chủ Nhật, 7 tháng 2, 2010

Google trao tiền thưởng sửa các lỗi trình duyệt

Google offers bounty on browser bugs

Published: 2010-02-02

Theo: http://www.securityfocus.com/brief/1067

Bài được đưa lên Internet ngày: 02/02/2010

Lời người dịch: Google có chính sách trả tiền cho các nhà nghiên cứu tìm được các lỗi trong mã nguồn trình duyệt web Chromium của hãng. Liệu có thể làm như vậy với các trình duyệt mã nguồn đóng không nhỉ???

Google đã công bố tuần trước rằng hãng đã tham gia vào đội ngũ của một nhóm nhỏ các tổ chức khác mà trả tiền cho các nhà nghiên cứu mà tìm ra được các lỗi trong mã nguồn của hãng.

Hãng sẽ trả 500 USD cho mỗi lỗi được tìm thấy trong Chromium, mã nguồn nguồn mở mà trang bị cho trình duyệt Chrome của hãng, Google đã công bố trên một bài viết trên blog được xuất bản hôm thứ năm. Đối với những vấn đề mang tính sống còn, như được chứng minh bởi đội an ninh của hãng, thì Google sẽ trả 1.337 USD - cho mỗi phát hiện của cao thủ lập trình.

“Chúng tôi đang hy vọng rằng sự giới thiệu về chương trình này sẽ khuyến khích những cá nhân mới tham gia vào an ninh của Chromium”, Chris Evans, một thành viên của đội an ninh Chrome của Google, đã nói trong một bài viết trên blog. “Càng nhiều người tham gia vào săm soi mã nguồn và hành vi của Chromium, thì càng đảm bảo an ninh hơn cho hàng triệu người sử dụng”.

Người khổng lồ về tìm kiếm còn lâu mới là công ty đầu tiên đồng ý trả tiền cho các nhà nghiên cứu về an ninh mà tìm thấy và phát hiện ra các lỗi một cách bí mật. Chương trình của Google dựa trên tiền thưởng về lỗi của nhà sản xuất trình duyệt Mozilla. Để bổ sung thêm, các hãng an ninh TippingPoint và iDefense cùng trả tiền cho những lỗi mang tính sống còn trong các phần mềm của các công ty khác, sử dụng thông tin để bảo vệ các khách hàng của riêng họ.

Trong bài viết trên blog, Evans của Google dường như đã chỉ ra rằng chỉ những chỗ bị tổn thương được phát hiện hợp lý mới được xem xét để trao thưởng và các lỗi đó được phát hiện một cách công khai mà việc không trao cho các lập trình viên của Google thời gian để sửa có thể sẽ không được tính tới.

“Chúng tôi khuyến khích sự phát hiện có trách nhiệm”, Evans đã viết. “Lưu ý rằng chúng tôi tin tưởng sự phát hiện có trách nhiệm là một con đường 2 chiều; đây là công việc của chúng tôi để sửa các lỗi nghiêm trọng trong một khung thời gian hợp lý”.

Tiền thưởng sửa lỗi cho phép các nhà nghiên cứu nhận được một số tiền mặt nhỏ cho nghiên cứu của họ, nhưng mờ nhạt so với các chi phí mà những vấn đề mang tính sống còn có thể hạ lệnh từ bọn tội phạm không gian mạng và các chương trình không gian mạng của chính phủ. Những khai thác cho một lỗi nghiêm trọng trong một chương trình thông thường có thể bán hơn 100,000 USD.

Google announced last week that the company had joined the ranks of a small group of other organizations that pay researchers for finding bugs in its code.

The company will pay $500 per bug found in Chromium, the open-source code that powers the company's Chrome Internet browser, Google stated in a blog post published on Thursday. For extremely critical issues, as judged by the company's security team, Google will pay $1,337 -- a play on hackerspeak for "leet" or elite.

"We are hoping that the introduction of this program will encourage new individuals to participate in Chromium security," Chris Evans, a member of Google's Chrome security team, stated in the blog post. "The more people involved in scrutinizing Chromium's code and behavior, the more secure our millions of users will be."

The search giant is far from the first company to agree to pay security researcher who find and privately disclose bugs. Google's program is based on browser maker Mozilla's bug bounty. In addition, security firms TippingPoint and iDefense both pay for critical bugs in other companies' software, using the information to protect their own customers.

In the blog post, Google's Evans appeared to indicate that only responsibly disclosed vulnerabilities would be considered for a reward and that bugs publicly disclosed without giving Google developers time to fix would not be considered.

"We encourage responsible disclosure," Evans wrote. "Note that we believe responsible disclosure is a two-way street; it's our job to fix serious bugs within a reasonable time frame."

Bug bounties allow researchers to receive a small amount of cash for their research, but pale in comparison to the fees that critical issues can command from cybercriminals and government cyber programs. Exploits for a serious flaw in a popular program can sell for more than $100,000.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.