Microsoft и Facebook объявили о запуске совместной программы Internet Bug Bounty, которая составит конкуренцию похожей программе от Google. В таком хорошем деле конкуренция отнюдь не помешает, тем более что здесь размер вознаграждений местами повыше, чем у Google.
Инициатива Internet Bug Bounty предполагает выплату вознаграждений за найденные уязвимости в сторонних проектах open source: Sandbox Escapes (минимальное вознаграждение $5000), OpenSSL ($2500), Python ($1500), Ruby ($1500), PHP ($1500), Django (coming soon), Rails ($1500), Perl ($1500), Phabricator ($300), Nginx ($500) и Apache httpd ($500).
Кроме того, минимум $5000 обещают за взлом интернета. Здесь имеется в виду нахождение такой уязвимости, которая затрагивает широкую линейку продуктов или большое количество пользователей, присутствует в реализациях от разных производителей/разработчиков, несет резко отрицательные последствия и которая сама по себе необычна и интересна. Уязвимость должна соответствовать большинству из перечисленных критериев. В качестве примеров приводят атаку BEAST для взлома шифрования SSL и предсказуемый генератор псевдослучайных чисел в Debian.
Напомним, что Google выплачивает награды за патчи, которые исправляют уязвимости в следующих программах:
- Ключевые инфраструктурные сетевые сервисы: OpenSSH, BIND, ISC DHCP
- Ключевые инфраструктурные парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
- Открытые проекты в основании Google Chrome: Chromium, Blink
- Другие важные библиотеки: OpenSSL, zlib
- Критически важные, повсеместно используемые компоненты ядра Linux (включая KVM)
В будущем программу планируется расширить на следующие проекты.
- Популярные веб-серверы: Apache httpd, lighttpd, nginx
- Популярные SMTP-сервисы: Sendmail, Postfix, Exim
- Инструменты безопасности для GCC, binutils, и llvm
- Виртуальные частные сети: OpenVPN
Размер вознаграждений от Google составляет от $500 до $3133,7.
