Google ha anunciado un programa experimental para gratificarlas mejoras proactivas de seguridad en determinados proyectos de código abierto («open-source«).
Según Michal Zalewski del equipo de seguridad de Google, «todos nos beneficiamos del increíble trabajo voluntario realizado por la comunidad de código abierto«. Por eso, han buscado una forma que pretende complementar y ampliar los ya extendidos programas de recompensas para aplicaciones web de Google y para Google Chrome, para «mejorar la seguridad de software de terceras partes crítico para la salud de todo Internet«.
Según aclara no han creído que un simple programa de recompensa por vulnerabilidad pudiera llegar a ser producente. De forma que las recompensas económicas serán para mejoras proactivas que vayan más allá de la mera corrección de un fallo de seguridad conocido. Así se ponen como ejemplo añadir separación de privilegios, limpiar múltiples llamadas incompletas a strcat(), o incluso habilitar ASLR.
Google pretende lanzar el programa de forma gradual, controlando la calidad de las propuestas recibidas y los comentarios de la comunidad de desarrolladores. Para el lanzamiento inicial Google ha limitado este programa a los siguientes proyectos:
- Infraestructura de principales servicios de red: OpenSSH, BIND, ISC DHCP
- Infraestructura de principales librerías de tratamiento de imágenes: libjpeg, libjpeg-turbo, libpng, giflib
- Proyectos de código abierto de Google Chrome: Chromium, Blink
- Otras librerías de alto impacto: OpenSSL, zlib
- Componentes habitualmente usados del kernel de Linux cuya seguridad sea crítica (incluyendo KVM)
En las próximas semanas, Google pretende incluir más proyectos, como los servidores web más populares (Apache httpd, lighttpd, nginx), servidores SMTP (Sendmail, Postfix, Exim), y otros programas como OpenVPN, GCC, binutils y llvm.
Las gratificaciones estarán en un rango desde los 500 dólares hasta los 3.133,7 dólares, las cifras habituales en su programa de recompensas para Chrome. Será una parte del equipo de seguridad de Google, con experiencia en la investigación de fallos de bajo nivel (actualmente formado por Abhishek Arya, Chris Evans, Ivan Fratric, Ben Hawkes, Tavis Ormandy, Peter Valchev, Tim Willis y Michal Zalewski), los que determinarán _basándose en su juicio de la complejidad e impacto del parche_ la cantidad final de la recompensa.
También aclaran que pueden optar por recompensas mayores para aportaciones inusualmente ingeniosas o complejas. También pueden llegar a dividir la gratificación entre el remitente y el equipo de mantenimiento del proyecto, en los casos en que el parche requiera un esfuerzo adicional considerable por parte del equipo de desarrollo.
Por último, ofrecen la opción de donar premios a proyectos de caridad. En tal caso, Google podrá igualar dicha aportación. Los premios no reclamados tras 12 meses se donarán a una organización benéfica de su elección.
Sin duda un proyecto digno de alabanza, que no dudamos contribuirá a la mejora de la seguridad en todo Internet, y por tanto en el beneficio de todos.
Más información:
Going beyond vulnerability rewards
patch-rewards
Antonio Ropero
Twitter: @aropero
Deja una respuesta