Rambler's Top100
 
Все новости Новости отрасли

Google заплатит за ловлю жуков

18 июня 2015

Новая программа компании обещает вознаграждение тем, кто найдет уязвимости в ее мобильной ОС. 

Практика денежных премий за обнаружение ошибок в программном коде – прежде чем они станут известны злоумышленникам – для Google не нова (аналогичная программа существует, например, для браузера Chrome). Но инициатива под названием Android Security Rewards станет первой, ориентированной на ОС Android. Ее цель, как говорится на сайте компании, – отметить вклад специалистов, «которые тратят свое время и силы, помогая сделать Android более безопасной».

«Мы видим, что мобильный доступ становится для людей, возможно, основным путем выхода в интернет, – цитирует The Guardian Эйдриана Людвига, отвечающего в Google за безопасность Android. – Но исследование проблем безопасности пока сосредоточено на унаследованных решениях. Мы стараемся изменить это, стимулируя исследователей направить свои усилия на мобильные системы».

Разработчики, желающие получить награду, должны будут продемонстрировать уязвимость, которая затрагивает телефоны и планшеты, поставляемые самой компанией Google, – сейчас это Nexus 6 и Nexus 9 (хотя, возможно, список будет расширен). Такой подход вполне понятен: учитывая фрагментированность рынка Android, в случае других устройств нет уверенности в том, что уязвимость связана с ошибками в самой базовой ОС, а не привнесена сторонним производителем.

Вознаграждение, естественно, может получить только первый сообщивший об ошибке. Кроме того, о ней нельзя объявлять публично или передавать информацию третьим сторонам в целях, не связанных с исправлением ошибки.

Размер выплат зависит от степени опасности проблемы: за ее обнаружение предлагается от $500 в случае умеренно серьезных  уязвимостей до $2000 для критичных. Более существенные суммы – до $8000 – компания обещает за подробное описание уязвимости, ее воспроизведение, CTS-тест и разработку патча. Предусмотрены и специальные премии за особо серьезные эксплойты – от $10 тыс. до $30 тыс., так что максимальная награда может составить $38 тыс. По словам Людвига, цель в том, чтобы поиск ошибок стал для специалистов полноценной исследовательской работой, и хорошо оплачиваемой.

Программа Android Security Rewards будет работать независимо от Google Patch Rewards – инициативы, нацеленной на проекты open source. Она также охватывает только те ошибки в коде, которые не попадают под действие других программ премирования Google.  

За прошлый год компания в рамках аналогичных программ поиска уязвимостей в Chrome и других продуктах выплатила $1,5 млн более чем 200 исследователям, а всего с момента запуска первой подобной инициативы в 2010 г. Google потратила на премии более $4 млн.

По материалам зарубежных источников

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.