Google sponsort opensourcebeveiliging

Google had al zijn Vulnerability Reward Program waarmee het betaalde voor ontdekte bugs in zijn diensten en software. Daar komt nu iets nieuws bij: de zoekmachinegigant beloont nu ook wie de veiligheid verbetert van belangrijke third-party opensourcesoftware die kritiek is voor de gezondheid van internet. Google wilde echter verder gaan dan het belonen van bugrapporten, want daarvoor bestaan er al heel wat initiatieven. Daarom geven ze vanaf nu een beloning voor belangrijke verbeteringen in de veiligheid van software, zoals het inschakelen van ASLR (address space layout randomization), een veiliger geheugenallocator of het opkuisen van dubieuze code.

Initieel beperkt het programma zich tot verbeteringen aan kritieke netwerkdiensten (OpenSSH, Bind, ISC DHCP), kritieke parsers voor beeldformaten (linjpeg, libjpeg-turbo, libpng, giflib), de opensource funderingen van Chrome (Chromium en de renderengine Blink), bibliotheken met een hoge impact (OpenSSL en zlib) en kritieke componenten van de Linux-kernel. Binnenkort wordt het programma ook opengesteld voor populaire webservers, SMTP-servers enzovoort. Deelnemen is eenvoudig: eens je patch aanvaard is door de maintainers van het project waaraan je bijdraagt, stuur je de details naar Google, waarna bepaald wordt of je in aanmerking komt voor een beloning van 500 tot 3113,7 dollar. https://www.google.com/about/appsecurity/patch-rewards/