受企业对更深层安全的渴望和不良动机两者的驱使,找寻安全漏洞亡羊补牢或者见缝插针的市场越来越大。
试图为软件及其它很多涉及互联网的事情提升安全性,谷歌于10月9日称其正支付程序员500到3133美元不等来做出改变,使得广泛使用的开源软件尽可能不那么容易遭受攻击。
伴随着Chrome奖励计划和漏洞奖励计划,谷歌已经做出了两个机制来支付程序员找出其浏览器及在线服务中的具体弱点。新的补丁奖励计划试图鼓励人们在更深层次上让软件变得坚不可摧。
“不少漏洞都可以追溯到可防范的编码错误,或者更早的开发中缺乏简单的缓解技术。我们希望能在某种程度上处理这个问题”,谷歌在项目FAQ中这样说道。
漏洞奖励已经在主要的计算公司越发盛行,一是为保持公司服务和软件的安全,还为和其它会支付同样的事情的组织对抗(这些组织不只是包括企图破坏系统的犯罪组织,还包括国家安全局)。2013年,美国国家安全局拨出2510万美元用于“额外秘密购买软件弱点”。这是由轰动一时的爱德华•斯诺登所揭露的,地球人都知道。
在8月,谷歌甚至五倍支付了一些BUG赏金,到现在总金额已超过两百万美元。而在10月中旬,微软才支付给一个安全研究员James Forshaw十万美元来找寻一个严重安全问题。
至于新的补丁奖励计划,谷歌决定不再扩大其现有的“猎杀BUG”奖励。 谷歌的一位安全小组成员Michal Zalewski这样说道。
谷歌将支付给那些提交了改进的程序员,但是是在软件项目的维护者接受它们之后。“是维护者来决定是否接受一个提议的补丁。考虑到程序的本质,我们并不希望对那些管理中的决议做事后批判”,谷歌称。
以下是谷歌支付改进的初始项目:
- 核心基础结构网络服务:OpenSSH、BIND、ISC DHCP
- 核心基础结构图像解析:libjpeg、libjpeg-turbo、libpng、giflib
- 谷歌Chrome的开源基础:Chromium、Blink
- 其它high-impact库
之后,谷歌称其计划如下扩展:
- 广泛使用的网络服务器:Apache httpd、lighttpd、nginx
- 流行的SMTP服务:Sendmail、Postfix、Exim
- GCC、binutils和llvm的工具链改进。
- 虚拟专用网:OpenVPN