Microsoft и Facebook объявили о запуске совместной программы Internet Bug Bounty, которая составит конкуренцию похожей программе от Google. В таком хорошем деле конкуренция отнюдь не помешает, тем более что здесь размер вознаграждений местами повыше, чем у Google.

Инициатива Internet Bug Bounty предполагает выплату вознаграждений за найденные уязвимости в сторонних проектах open source: Sandbox Escapes (минимальное вознаграждение $5000), OpenSSL ($2500), Python ($1500), Ruby ($1500), PHP ($1500), Django (coming soon), Rails ($1500), Perl ($1500), Phabricator ($300), Nginx ($500) и Apache httpd ($500).

Кроме того, минимум $5000 обещают за взлом интернета. Здесь имеется в виду нахождение такой уязвимости, которая затрагивает широкую линейку продуктов или большое количество пользователей, присутствует в реализациях от разных производителей/разработчиков, несет резко отрицательные последствия и которая сама по себе необычна и интересна. Уязвимость должна соответствовать большинству из перечисленных критериев. В качестве примеров приводят атаку BEAST для взлома шифрования SSL и предсказуемый генератор псевдослучайных чисел в Debian.

Напомним, что Google выплачивает награды за патчи, которые исправляют уязвимости в следующих программах:

  • Ключевые инфраструктурные сетевые сервисы: OpenSSH, BIND, ISC DHCP
  • Ключевые инфраструктурные парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
  • Открытые проекты в основании Google Chrome: Chromium, Blink
  • Другие важные библиотеки: OpenSSL, zlib
  • Критически важные, повсеместно используемые компоненты ядра Linux (включая KVM)

В будущем программу планируется расширить на следующие проекты.

  • Популярные веб-серверы: Apache httpd, lighttpd, nginx
  • Популярные SMTP-сервисы: Sendmail, Postfix, Exim
  • Инструменты безопасности для GCC, binutils, и llvm
  • Виртуальные частные сети: OpenVPN

Размер вознаграждений от Google составляет от $500 до $3133,7.



Оставить мнение