Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google gaat veiligheidspatches voor opensource-software belonen

Google looft beloningen tussen de 500 en 3133,70 dollar uit voor ontwikkelaars die patches indienen voor lekken in een aantal populaire opensource-pakketten en -bibliotheken. Daarmee gaat Google verder dan het louter belonen bij het melden van een beveiligingsprobleem.

De zoekgigant zegt met zijn Patch Rewards-programma iets anders te willen proberen dan de traditionele 'bug bounties' die door diverse bedrijven worden georganiseerd. Het moet softwareontwikkelaars en beveiligingsdeskundigen aanmoedigen om naast het vinden van bugs deze ook te repareren via een werkende patch.

Het Patch Rewards-programma richt zich op opensource-software die op internet veel gebruikt wordt, zo stelt Google. Het bedrijf gebruikt echter zelf ook vrijwel alle genoemde software. Zo wordt onder andere OpenSSH en BIND genoemd, maar ook bibliotheken als zlib, libjpeg en libpng. Ook bepaalde onderdelen van de Linux-kernel, dat de basis vormt van Android, vallen onder het programma, evenals Chromium en de Blink-browserengine, beide software van Google. Google belooft echter in de toekomst ook andere populaire softwarepakketten aan het beloningsprogramma toe te voegen, zoals Apache, de GNU Compiler Collection en een aantal smtp-deamons.

Google noemt onder andere patches voor veiliger geheugenbeheer en het voorkomen van gevaarlijke aanroepen naar libraries als voorbeelden van patches die voor een beloning in aanmerking kunnen komen. Patches die echter een al reeds bekende bug verhelpen komen niet in aanmerking. Daarnaast moet de patch eerst ingediend worden bij de developers van het betreffende pakket en meegenomen worden in een update.

Vervolgens kan er een verzoek bij Google worden ingediend voor een beloning. Dit bedrag ligt tussen de 500 en 3133,70 dollar. De hoogte van de beloning wordt mede bepaald door de complexiteit van het probleem en de geraffineerdheid van de geboden patch, zo meldt Google. Overigens blijft het zogeheten vulnerability program voor het melden van kwetsbaarheden op websites nog gewoon bestaan.

Door Dimitri Reijerman

Redacteur

10-10-2013 • 16:45

17 Linkedin Google+

Lees meer

Reacties (17)

Wijzig sortering
Er wordt in het artikel gesproken over veiligheidspatches voor opensource software. Opensource is (normaliter ;) ) gratis. Het moedigt alleen maar aan dat mensen niet alleen bugs melden maar indien mogelijk ook oplossen.
Als het nu ging om het oplossen van bugs in een betaald pakket (meestal closed source), dan heb je gelijk en zijn de beloningen klein. Normaal gesproken krijgen ontwikkelaars geen financiŽle vergoeding voor het sleutelen aan iets wat opensource is, maar doen ze dat omdat ze dit leuk vinden. (of om van te leren, sommigen voor de credits van de community)

Eigenlijk kan ik zoiets alleen maar toejuichen, aangezien op deze manier het actief oplossen ook een beetje beloond wordt en het niet blijft bij "bugje zoeken en melden". Mogelijk dat de OpenSource community dan ook wat actiever wordt.

Als je kijkt naar het uurloon op basis van het vinden van bugs, en oplossen (dus ook de oorzaak vinden), dan zal dat niet al te hoog liggen, maar het is ook niet voor niets opensource en daarmee gratis te verkrijgen door eindgebruikers.

[Reactie gewijzigd door jbdeiman op 10 oktober 2013 17:01]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True