حمایت مالی گوگل از اصلاح مشکلات امنیتی پروژههای متنباز
گوگل به عنوان یکی از اولین شرکتهایی که برنامهی جایزه در قبال آسیبپذیری1 را به راه انداخت، جوایز و پاداش خود را به پژوهشگران و توسعهدهندگانی گسترش داد که در اصلاح پروژههای متنباز شرکت میکنند و در امنیت این پروژهها نقش دارند.
این جوایز جدید از ۵۰۰ دلار تا ۳۱۳۳ دلار و ۷۰ سنت متغیر بوده و با هدف بهبود امنیت محصولات اصلی این شرکت یعنی سامانهعامل و مرورگر کروم ترتیب داده شده است. این شرکت برنامهی یافتن آسیبپذیری را سالهاست که ادامه میدهد و تعداد زیادی از توسعهدهندگان را به خود جذب کرده است. معمولاً این جوایز بین هزار تا ۳ هزار دلار است اما در ازای آسیبپذیریهای امنیتی ویژه ممکن است به دهها هزار دلار هم برسد.
توسعهی این برنامه و حمایت مالی گوگل نشان میدهد که ایمنسازی برنامههای کاربردی بهویژه پروژههای متنباز چه میزان دشوار است. از این رو گوگل جوایزی را در ازای بهبود امنیت ابزاری مانند OpenSSL، OpenSSH و BIND به توسعهدهندگان میپردازد.
مولفههایی که در فاز اول این برنامه گنجانده شدهاند، از این قرار است:
زیرساخت اصلی سرویسهای شبکه: OpenSSH، BIND، ISC DHCP
زیرساخت اصلی پارسرهای2 تصویر: libjpeg، libjpeg-turbo، libpng و giflib
بنیانهای متنباز گوگلکروم: Chromium و Blink
سایر کتابخانههای مهم مانند OpenSSl و zlib
مولفههای پرکاربرد و حساس(از منظر امنیت) در هستهی لینوکس مانند KVM
به جهت قرار گرفتن در فهرست دریافتکنندگان جایزه از جانب گوگل، وصلهی ارائه شده باید اثر اثبات شده و قابل توجهی بر امنیت مولفهی مذکور داشته باشد.
البته ممکن است پاداش بین کسی که خطا را گزارش میکند و مسئول نگهداری پروژهی متنباز مربوطه تقسیم شود؛ در این صورت قطعاً همکاری بین این دو تیم در کار بوده است.
برای این منظور توسعهدهندگان اصلاحیهها را مستقیماً به مسئولین پروژهها ارسال میکنند و زمانی که وصله در بخشی از پروژه قرار گرفت، رایانامهای توسط آنها به همراه جزییات به گوگل ارسال میگردد.