Google
ha anunciado un
programa experimental para gratificar
las mejoras proactivas de seguridad en determinados proyectos de código abierto ("open-source").
Según
Michal Zalewski del equipo de seguridad de Google, "todos nos beneficiamos del increíble trabajo
voluntario realizado por la comunidad de código abierto". Por eso, han
buscado una forma que pretende complementar y ampliar los ya extendidos
programas de recompensas para aplicaciones web
de Google y para Google Chrome, para "mejorar la seguridad de software de terceras
partes crítico para la salud de todo Internet".
Según aclara no han creído que un
simple programa de recompensa por vulnerabilidad pudiera llegar a ser
producente. De forma que las recompensas
económicas serán para mejoras proactivas que vayan más allá de la mera corrección
de un fallo de seguridad conocido. Así se ponen como ejemplo añadir
separación de privilegios, limpiar múltiples llamadas incompletas a strcat(), o
incluso habilitar ASLR.
Google pretende lanzar el
programa de forma gradual, controlando la calidad de las propuestas recibidas y
los comentarios de la comunidad de desarrolladores. Para el lanzamiento inicial Google
ha limitado este programa a los siguientes proyectos:
- Infraestructura de principales servicios de red: OpenSSH, BIND, ISC DHCP
- Infraestructura de principales librerías de tratamiento de imágenes: libjpeg, libjpeg-turbo, libpng, giflib
- Proyectos de código abierto de Google Chrome: Chromium, Blink
- Otras librerías de alto impacto: OpenSSL, zlib
- Componentes habitualmente usados del kernel de Linux cuya seguridad sea crítica (incluyendo KVM)
En las próximas semanas, Google
pretende incluir más proyectos, como los servidores web más populares (Apache
httpd, lighttpd, nginx), servidores SMTP (Sendmail, Postfix, Exim), y otros programas
como OpenVPN, GCC, binutils y llvm.
Las gratificaciones estarán en un rango desde los 500 dólares hasta los
3.133,7 dólares, las cifras habituales en su programa de recompensas para
Chrome. Será una parte del equipo de seguridad de Google, con experiencia en la
investigación de fallos de bajo nivel (actualmente formado por Abhishek Arya,
Chris Evans, Ivan Fratric, Ben Hawkes, Tavis Ormandy, Peter Valchev, Tim Willis
y Michal Zalewski), los que determinarán _basándose en su juicio de la
complejidad e impacto del parche_ la cantidad final de la recompensa.
También aclaran que pueden optar
por recompensas mayores para aportaciones inusualmente ingeniosas o complejas. También
pueden llegar a dividir la gratificación entre el remitente y el equipo de
mantenimiento del proyecto, en los casos en que el parche requiera un esfuerzo
adicional considerable por parte del equipo de desarrollo.
Por último, ofrecen la opción de
donar premios a proyectos de caridad. En tal caso, Google podrá igualar dicha aportación.
Los premios no reclamados tras 12 meses se donarán a una organización benéfica
de su elección.
Sin duda un
proyecto digno de alabanza, que no
dudamos contribuirá a la mejora de la seguridad en todo Internet, y por
tanto en el beneficio de todos.
Más información:
Going beyond vulnerability rewards
patch-rewards
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario