Nesta semana, o Google anunciou que está aumentando o escopo do programa da empresa que paga por especialistas que encontrarem falhas de segurança. A empresa pretende recompensar programadores que criarem melhorias significativas de segurança em projetos de código aberto, que podem receber entre US$ 500 e US$ 3.133,70.
Atualmente, o Google já recompensa especialistas que identificam falhas de segurança em seus softwares ou produtos. Mas, para participar do novo programa de recompensas, não basta identificar uma falha de segurança. É preciso atualizar o código fonte do software e enviar aos mantenedores do projeto para aprovação. Só após a aprovação da mudança é que o Google aceitará a modificação como candidata para receber o pagamento.
Assim, a empresa não pretende recompensar correções de falhas, mas sim melhorias proativas no código dos softwares, removendo funções conhecidas por apresentarem falhas ou adicionando recursos de segurança como ASLR, que dificulta a criação de códigos de ataque. No blog de segurança do Google, Michal Zalewski explicou que a empresa adotou essa postura porque recompensar pequenas correções de falhas poderia gerar um grande volume de candidaturas falsas ou pouco significativas.
Participando do programa softwares como OpenSSH, BIND e ISC DHCP, frequentemente usados para administração de redes e servidores, além de códigos como o libjpeg, que é utilizado no processamento de imagens. Qualquer projeto relacionado ao Google Chrome também está participando, bem como componentes do kernel do Linux. Melhorias ao código do OpenSSL, responsável pelo “cadeado” que aparece em páginas web, também podem se candidatar.
A lista completa de regras está disponível neste link.
