Google trao tiền thưởng sửa các lỗi trình duyệt

Googleoffers bounty on browser bugs

Published: 2010-02-02

Theo:http://www.securityfocus.com/brief/1067

Bài được đưa lênInternet ngày: 02/02/2010

Lờingười dịch: Google có chính sách trả tiền cho các nhànghiên cứu tìm được các lỗi trong mã nguồn trình duyệtweb Chromium của hãng. Liệu có thể làm như vậy với cáctrình duyệt mã nguồn đóng không nhỉ???

Google đã công bốtuần trước rằng hãng đã tham gia vào đội ngũ của mộtnhóm nhỏ các tổ chức khác mà trả tiền cho các nhànghiên cứu mà tìm ra được các lỗi trong mã nguồn củahãng.

Hãng sẽ trả 500 USDcho mỗi lỗi được tìm thấy trong Chromium, mã nguồnnguồn mở mà trang bị cho trình duyệt Chrome của hãng,Google đã công bố trên một bài viết trên blog đượcxuất bản hôm thứ năm. Đối với những vấn đề mangtính sống còn, như được chứng minh bởi đội an ninhcủa hãng, thì Google sẽ trả 1.337 USD - cho mỗi phát hiệncủa cao thủ lập trình.

“Chúng tôi đang hyvọng rằng sự giới thiệu về chương trình này sẽkhuyến khích những cá nhân mới tham gia vào an ninh củaChromium”, Chris Evans, một thành viên của đội an ninhChrome của Google, đã nói trong một bài viết trên blog.“Càng nhiều người tham gia vào săm soi mã nguồn và hànhvi của Chromium, thì càng đảm bảo an ninh hơn cho hàngtriệu người sử dụng”.

Người khổng lồ vềtìm kiếm còn lâu mới là công ty đầu tiên đồng ý trảtiền cho các nhà nghiên cứu về an ninh mà tìm thấy vàphát hiện ra các lỗi một cách bí mật. Chương trình củaGoogle dựa trên tiền thưởng về lỗi của nhà sản xuấttrình duyệt Mozilla. Để bổ sung thêm, các hãng an ninhTippingPoint và iDefense cùng trả tiền cho những lỗi mangtính sống còn trong các phần mềm của các công ty khác,sử dụng thông tin để bảo vệ các khách hàng của riênghọ.

Trong bài viết trênblog, Evans của Google dường như đã chỉ ra rằng chỉnhững chỗ bị tổn thương được phát hiện hợp lý mớiđược xem xét để trao thưởng và các lỗi đó đượcphát hiện một cách công khai mà việc không trao cho cáclập trình viên của Google thời gian để sửa có thể sẽkhông được tính tới.

“Chúng tôi khuyếnkhích sự phát hiện có trách nhiệm”, Evans đã viết.“Lưu ý rằng chúng tôi tin tưởng sự phát hiện cótrách nhiệm là một con đường 2 chiều; đây là côngviệc của chúng tôi để sửa các lỗi nghiêm trọng trongmột khung thời gian hợp lý”.

Tiền thưởng sửalỗi cho phép các nhà nghiên cứu nhận được một sốtiền mặt nhỏ cho nghiên cứu của họ, nhưng mờ nhạtso với các chi phí mà những vấn đề mang tính sống còncó thể hạ lệnh từ bọn tội phạm không gian mạng vàcác chương trình không gian mạng của chính phủ. Nhữngkhai thác cho một lỗi nghiêm trọng trong một chương trìnhthông thường có thể bán hơn 100,000 USD.

Googleannounced last week that the company had joined the ranks of a smallgroup of other organizations that pay researchers for finding bugs inits code.

Thecompany will pay $500 per bug found in Chromium, the open-source codethat powers the company's Chrome Internet browser, Google stated in ablog post published on Thursday. For extremely critical issues, asjudged by the company's security team, Google will pay $1,337 -- aplay on hackerspeak for "leet" or elite.

"Weare hoping that the introduction of this program will encourage newindividuals to participate in Chromium security," Chris Evans, amember of Google's Chrome security team, stated in theblog post. "The more people involved in scrutinizingChromium's code and behavior, the more secure our millions of userswill be."

Thesearch giant is far f-rom the first company to agree to pay securityresearcher who find and privately disclose bugs. Google's program isbased on browser maker Mozilla's bugbounty. In addition, security firms TippingPoint and iDefenseboth pay forcritical bugs in other companies' software, using the informationto protect their own customers.

Inthe blog post, Google's Evans appeared to indicate that onlyresponsibly disclosed vulnerabilities would be considered for areward and that bugs publicly disclosed without giving Googledevelopers time to fix would not be considered.

"Weencourage responsible disclosure," Evans wrote. "Note thatwe believe responsible disclosure is a two-way street; it's our jobto fix serious bugs within a reasonable time frame."

Bugbounties allow researchers to receive a small amount of cash fortheir research, but pale in comparison to the fees that criticalissues can command f-rom cybercriminals and government cyber programs.Exploits for a serious flaw in a popular program cansell for more than $100,000.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com