Google подвела итоги года в области обеспечения безопасности

OSzone.net » Новости » IT » Google подвела итоги года в области обеспечения безопасности
Автор: Анжел Божинов
Иcточник: googleonlinesecurity.blogspot.ru
Опубликована: 31.01.2015

В 2010 году компания Google начала программу поощрения сторонних независимых специалистов, выявляющих уязвимости в продуктах компании. Начавшись в качестве небольшого эксперимента, программа под названием VRP в дальнейшем начала охватывать не только приложения поисковой корпорации, но и множество проектов с открытым исходным кодом. Сейчас Google подвела итоги 2014 года и рассказала о новых возможностях для сторонних исследователей.

Как сообщил сотрудник отдела Google Security Эдуардо Вела Нава, в прошедшем году было выплачено в общей сложности более $1.5 млн. USD (всего около $4 млн. с 2010 года) более чем 200 независимым исследователям за обнаружение и/или исправление более 500 уязвимостей в разных продуктах. Максимальная награда составила $150 тыс., и она досталась известному хакеру Джорджу Хотцу, который после этого решил стать сотрудником Google в рамках инициативы Project Zero. Наиболее пристальное внимание исследователи уделяли браузеру Google Chrome, при этом более половины обнаруженных в нём уязвимостей были обнаружены на этапе тестирования в бета-версиях и из канале для разработчиков, потому значительная часть дефектов так и не дошла до обычных пользователей.

*

Три наиболее активных участника VRP в 2014 году в офисе Google.

Для стимулирования дальнейших изысканий, компания в новом году анонсирует две новых инициативы в рамках программы. Первое нововведение заключается во внедрении практики грантов. Отдел безопасности Google мотивировал это решение пониманием того, что исследователи могут тратить значительное время на поиск уязвимостей, которое может мешать как основной работе, так и досугу, поэтому исследователи должны быть поощрены даже до того, как обнаружат что-либо. Гранты будут делиться на три категории: анализ недавно выпущенных продуктов, анализ продуктов с конфиденциальной информацией, анализ эффективности патчей. Максимальная сумма гранта составляет $3113.7, но один человек может получить несколько грантов на один продукт, или же, наоборот, один грант на несколько продуктов, в зависимости от сложности задачи. По итогам завершенного исследования хакер может не обнаружить никаких уязвимостей, но в этом случае грант всё равно останется у него, и он не лишится возможности получить новый. Присоединиться к программе грантов в данный момент может только человек, участвовавший ранее в любой из инициатив Google по поиску уязвимостей.

Второй инициативой стало очередное расширение продуктов, подпадающих под награды. Теперь энтузиасты могут приступить к испытанию на прочность приложений Google для операционных систем Android и iOS. Максимальная стандартная награда составит $20 тысяч.


Ссылка: http://www.oszone.net/26300/Google_podvela_itogi_goda_v_oblasti_obespecheniay_bezopasnosti