Google gaat veiligheidspatches voor opensource-software belonen

Google looft beloningen tussen de 500 en 3133,70 dollar uit voor ontwikkelaars die patches indienen voor lekken in een aantal populaire opensource-pakketten en -bibliotheken. Daarmee gaat Google verder dan het louter belonen bij het melden van een beveiligingsprobleem.

De zoekgigant zegt met zijn Patch Rewards-programma iets anders te willen proberen dan de traditionele 'bug bounties' die door diverse bedrijven worden georganiseerd. Het moet softwareontwikkelaars en beveiligingsdeskundigen aanmoedigen om naast het vinden van bugs deze ook te repareren via een werkende patch.

Het Patch Rewards-programma richt zich op opensource-software die op internet veel gebruikt wordt, zo stelt Google. Het bedrijf gebruikt echter zelf ook vrijwel alle genoemde software. Zo wordt onder andere OpenSSH en BIND genoemd, maar ook bibliotheken als zlib, libjpeg en libpng. Ook bepaalde onderdelen van de Linux-kernel, dat de basis vormt van Android, vallen onder het programma, evenals Chromium en de Blink-browserengine, beide software van Google. Google belooft echter in de toekomst ook andere populaire softwarepakketten aan het beloningsprogramma toe te voegen, zoals Apache, de GNU Compiler Collection en een aantal smtp-deamons.

Google noemt onder andere patches voor veiliger geheugenbeheer en het voorkomen van gevaarlijke aanroepen naar libraries als voorbeelden van patches die voor een beloning in aanmerking kunnen komen. Patches die echter een al reeds bekende bug verhelpen komen niet in aanmerking. Daarnaast moet de patch eerst ingediend worden bij de developers van het betreffende pakket en meegenomen worden in een update.

Vervolgens kan er een verzoek bij Google worden ingediend voor een beloning. Dit bedrag ligt tussen de 500 en 3133,70 dollar. De hoogte van de beloning wordt mede bepaald door de complexiteit van het probleem en de geraffineerdheid van de geboden patch, zo meldt Google. Overigens blijft het zogeheten vulnerability program voor het melden van kwetsbaarheden op websites nog gewoon bestaan.

Door Dimitri Reijerman

Redacteur

Feedback • 10-10-2013 16:4517

10-10-2013 • 16:45

17 Linkedin

Lees meer

Aantal bij Facebook gemelde high impact-bugs is met 38 procent gestegen Nieuws van 10 februari 2016
Google wil dit jaar offline-modus en mobiele prestaties Blink-engine verbeteren Nieuws van 14 januari 2014
'Duizenden Android-apps kwetsbaar door lekken in InMobi-adware' Nieuws van 27 november 2013
HackerOne beloont het melden van bugs die stabiliteit internet bedreigen Nieuws van 7 november 2013
Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken Nieuws van 8 oktober 2013
Ontwikkelaar demonstreert Facebook-bug via account Mark Zuckerberg Nieuws van 18 augustus 2013
Lek in Facebook legde primaire e-mailadressen bloot Nieuws van 10 juli 2013
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1 Nieuws van 20 juni 2013
Google beloont hacker alsnog voor Chrome OS-exploit Nieuws van 19 maart 2013
Firefox 22 blokkeert standaard third party-cookies Nieuws van 24 februari 2013
Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft Nieuws van 13 februari 2013
Google verhelpt 2,5 jaar oude netwerkbug in Android Nieuws van 22 november 2012
Onderzoekers claimen zero day-lek in Adobe Reader gevonden te hebben Nieuws van 8 november 2012
Google patcht recent Chrome-lek in tien uur tijd Nieuws van 11 oktober 2012
Patch van Nederlandse hacker verlaagt compileertijd Android-apps Nieuws van 27 september 2012
'Dit jaar minder kwetsbaarheden mobiele besturingssystemen' Nieuws van 20 september 2012
Nieuwste testversie Chrome ondersteunt do-not-track Nieuws van 14 september 2012
Google looft 1 miljoen dollar uit voor Chrome-exploits Nieuws van 28 februari 2012
Google beloont hackers met 310.000 euro voor beveiliging Nieuws van 10 februari 2012
Mozilla keert 3000 dollar uit aan 12-jarige bug hunter Nieuws van 24 oktober 2010
Adobe wordt lid van veiligheidsprogramma Microsoft Nieuws van 29 juli 2010
Mozilla verhoogt beloning voor lekvinders Nieuws van 2 juli 2010
Bedrijf start 'eBay voor veiligheidslekken' Nieuws van 8 juli 2007
Meer producten en artikelen
Netwerk en systeembeheer Google Open source Patches

Reacties (17)

-Moderatie-faq
17
17
17
1
0
0
Wijzig sortering
ApexAlpha
10 oktober 2013 16:49
Ik ben een leek op het gebied van programmeren, maar kost het niet ongelooflijk veel tijd om een patch te maken? Een bug kun je volgens mij nog 'tegenkomen' maar een patch moet je zelf schrijven (en ook nog testen). Dus eigenlijk vraag ik mij af: zijn dit redelijke bedragen voor de hoeveelheid tijd die een programmeur er waarschijnlijk in moet stoppen?
jbdeiman
@ApexAlpha10 oktober 2013 17:00
Er wordt in het artikel gesproken over veiligheidspatches voor opensource software. Opensource is (normaliter ;) ) gratis. Het moedigt alleen maar aan dat mensen niet alleen bugs melden maar indien mogelijk ook oplossen.
Als het nu ging om het oplossen van bugs in een betaald pakket (meestal closed source), dan heb je gelijk en zijn de beloningen klein. Normaal gesproken krijgen ontwikkelaars geen financiële vergoeding voor het sleutelen aan iets wat opensource is, maar doen ze dat omdat ze dit leuk vinden. (of om van te leren, sommigen voor de credits van de community)

Eigenlijk kan ik zoiets alleen maar toejuichen, aangezien op deze manier het actief oplossen ook een beetje beloond wordt en het niet blijft bij "bugje zoeken en melden". Mogelijk dat de OpenSource community dan ook wat actiever wordt.

Als je kijkt naar het uurloon op basis van het vinden van bugs, en oplossen (dus ook de oorzaak vinden), dan zal dat niet al te hoog liggen, maar het is ook niet voor niets opensource en daarmee gratis te verkrijgen door eindgebruikers.

[Reactie gewijzigd door jbdeiman op 10 oktober 2013 17:01]

Janoz
@ApexAlpha10 oktober 2013 16:56
Een patch die een programmeur maakt is iets heel anders dan een patch welke een bedrijf voor zijn software aan de eindgebruiker levert. Het is niet één of andere install wizard, maar gewoon een klein bestandje waarin staat welke regels verwijderd en/of toegevoegd zijn en op welke regel wat veranderd is. Deze bestandjes kunnen automatisch gegenereerd worden door een tootlje die de code van voor de fix vergelijkt met de code van na de fix.
mhkool
@Janoz11 oktober 2013 02:28
Eh, je gaat er gemakshalve even aan voorbij dat het veel gemakkelijker is om een bug te vinden dan een bug op te lossen. Om het op te lossen moet je de broncode doorgronden en daar heb je niet geringe vaardigheden en tijd voor nodig.
Janoz
@mhkool11 oktober 2013 09:55
De bug daadwerkelijk vinden is meestal al 75% van de oplossing, en ook voor het vinden van de bug heb je kennis van de broncode nodig. Maar misschien gebruiken we een andere definitie van 'het vinden van de bug'.
mobstaa
@ApexAlpha10 oktober 2013 16:57
Dit hangt ervan af. Zelf ben ik software programmeur en maak ik voor eigen software wel patches en updates.

Dit hangt compleet af van de 'bug' in de software, dit kan iets simpels zijn waar je 1 tot 2 dagen aan bezig bent, dit kan ook een probleem zijn waar je meerdere weken aan bezig zou kunnen zijn.

Het moeilijke is de echte 'bug' vinden. Wanneer je deze eenmaal hebt gevonden, is de helft van het werk al gedaan. Software van bedrijven als Google zit over het algemeen wel goed in elkaar. Je moet maar net tegen een bug aanlopen.
Upquark
10 oktober 2013 16:49
31337 = ELEET? :P
Eloy
@Upquark10 oktober 2013 16:59
Volgensmij wilde Google een keer een bedrijf opkopen, en toen hadden ze $3.141.592.653,58 geboden :+

ontopic: Ik vind het een erg goed plan van Google! Maar zijn deze software paketten niet al nagenoeg bug-vrij? De pakketen zijn al vrij oud (Dus veelgebruikt en redelijk veilig bewezen), en niet zo heel erg groot. $3000 voor een patch in OpenSSH levert op de zwarte markt echt een veelvoud daarvan op!

[Reactie gewijzigd door Eloy op 10 oktober 2013 17:01]

dev10
@Eloy10 oktober 2013 17:10
Donald Knuth haalt ook zulke geintjes uit met mensen die suggesties geven op zijn boeken:
He used to pay a finder's fee of $2.56 for any typographical errors or mistakes discovered in his books, because "256 pennies is one hexadecimal dollar", and $0.32 for "valuable suggestions".
strompf
@dev1010 oktober 2013 22:08
Versienummering van TeX, ook van Donald Knuth, volgt de decimalen van pi. De huidige versie (sinds 2008) heeft nummer 3.1415926 - http://en.wikipedia.org/wiki/TeX

[Reactie gewijzigd door strompf op 10 oktober 2013 22:08]

Adamar
@Eloy10 oktober 2013 17:27
Dat was onder andere bij de strijd rond de patenten van Nortel, waar overigens een consortium van apple en microsoft (en anderen) gewonnen heeft.
AllSeeyinEye
@Upquark10 oktober 2013 16:53
Ik gok e-Leet, want 1337/leet is an sich al een verbastering van 'elite'
Bux666
@Upquark10 oktober 2013 17:14
Klopt! Van Wikipedia:
Leet (or "1337"), also known as eleet or leetspeak, is an alternative alphabet for the English language that is used primarily on the Internet. It uses various combinations of ASCII characters to replace Latinate letters. For example, leet spellings of the word leet include 1337 and l33t; eleet may be spelled 31337 or 3l33t.
DeTeraarist
10 oktober 2013 16:57
Vraag me af welke kant dit opgaat. Hoe moeilijk is het om een patch tegen te houden door het vaste team en even later door iemand anders in te laten dienen.
David Mulder
@DeTeraarist10 oktober 2013 17:21
Precies dat was ook mijn eerste gedachte. Als een bedrijf bugs in z'n eigen software beloond weet het bedrijf zeker dat het niet zelf gaat betalen voor z'n eigen werk. Als je daarentegen het bij een open source project doet, betaal je dan ook de ontwikkelaars die er altijd veel vrije tijd in stoppen? En zo ja, wat houdt hun tegen om een fout te introduceren en die daarna er weer uit te halen bijvoorbeeld? Maja, we gaan het zien, sowieso een leuke win win situatie voor zowel google als de community zolang het niet misbruikt word :D
arendvw
@DeTeraarist11 oktober 2013 06:13
Als je git / distributed scm gebruikt is dat natuurlijk niet zo moeilijk. Dan staat het redelijk publiek dat developer A het project geforked heeft en hierin een wijziging heeft gemaakt.

Bovendien zijn de bedragen nou ook niet zo hoog dat het echt loont om hier mee te gaan frauderen. Het gaat niet om kinderachtige hobby projectjes, het gaat om software die op vrijwel elke linux server geinstalleerd staat.
ColonelChocomel
10 oktober 2013 18:06
Ik heb wel respect voor Google. Ze maken goede producten en het is goed dat ze opensource-software steunen. Ook Android gebruik ik met veel plezier.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee