Google informó de programa de recompensas para las mejoras proactivas de seguridad en determinados proyectos de código abierto ("open-source").
Según Michal Zalewski, del equipo de seguridad de Google, "todos nos beneficiamos del increíble trabajo voluntario realizado por la comunidad de código abierto". Por eso, han buscado una forma que pretende complementar y ampliar los ya extendidos programas de recompensas para aplicaciones web de Google y para Google Chrome, para "mejorar la seguridad de software de terceras partes crítico para la salud de todo Internet".
Según aclara no han creído que un simple programa de recompensa por vulnerabilidad pudiera llegar adecuado. De forma que las recompensas económicas serán por mejoras proactivas que vayan más allá de la mera corrección de un fallo de seguridad conocido.
Así se ponen como ejemplo añadir separación de privilegios, limpiar múltiples llamadas incompletas a strcat(), o incluso habilitar ASLR.
Las gratificaciones estarán en un rango desde los 500 dólares hasta los 3.133,7 dólares, las cifras habituales en su programa de recompensas para Chrome.
Más información:
- Going beyond vulnerability rewards http://googleonlinesecurity.blogspot.com.au/2013/10/going-beyond-vulnerability-rewards.html
- Patch-rewards http://www.google.com/about/appsecurity/patch-rewards/
- Una al día (11/10/2013) http://unaaldia.hispasec.com/2013/10/google-gratificara-por-mejoras-de.html
Fuente: Hispasec
