Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 11
ストーリー by headless
賞金 部門より
賞金 部門より
あるAnonymous Cowardのタレこみより。Googleは脆弱性情報に対する報奨金制度を主要なオープンソースソフトウェアにも拡大することを発表した(Google Online Security Blogの記事、ITmediaエンタープライズの記事、
Ars Technicaの記事、
本家/.)。
ただし、報奨金プログラムによりバグ報告が殺到し、コミュニティーが処理しきれなくなる可能性があり、脆弱性は発見よりも修正に手間のかかることも多い。そのため、オープンソースソフトウェアに関しては、脆弱性報告だけでは報奨金は支払われない。報奨金を獲得するには、まずパッチをプロジェクトのメンテナーに送る。パッチが承認され、リポジトリーに追加後にGoogleに詳細を知らせると審査が行われ、内容によって500~3,133.7ドルの報奨金が支払われることになる。当初はOpenSSHのようなネットワークサービスの中心となるソフトウェアや、libjpegやOpenSSL、zlibなどの重要なライブラリー、Google Chromeのオープンソース基盤となるChromiumやBlink、セキュリティー上重要なLinuxカーネルのコンポーネントなどに限定される。今後はApacheやSendmail、OpenVPNなどにも拡大していく予定とのことだ。
ただし、報奨金プログラムによりバグ報告が殺到し、コミュニティーが処理しきれなくなる可能性があり、脆弱性は発見よりも修正に手間のかかることも多い。そのため、オープンソースソフトウェアに関しては、脆弱性報告だけでは報奨金は支払われない。報奨金を獲得するには、まずパッチをプロジェクトのメンテナーに送る。パッチが承認され、リポジトリーに追加後にGoogleに詳細を知らせると審査が行われ、内容によって500~3,133.7ドルの報奨金が支払われることになる。当初はOpenSSHのようなネットワークサービスの中心となるソフトウェアや、libjpegやOpenSSL、zlibなどの重要なライブラリー、Google Chromeのオープンソース基盤となるChromiumやBlink、セキュリティー上重要なLinuxカーネルのコンポーネントなどに限定される。今後はApacheやSendmail、OpenVPNなどにも拡大していく予定とのことだ。
これはよくないような (スコア:1)
自分の発見を利用して誰かが先にパッチを作ってしまったら、パッチ作成者にお金が入るんですよね?
それだと、誰もが「じゃあパッチを作成してから公開しよう」と思うでしょうから、
脆弱性のみの報告が遅れることになるおそれがあります。
むしろゼロデイ脆弱性が増えるのでは?
審査というか踏み絵? (スコア:0)
Googleに都合のいい修正じゃないと
報奨金が出ないってことにならなきゃいいけど
脆弱性発見して
(Googleに都合のいい)パッチ作った人から
突き上げられるメンテナー
# 良心の試練がはじまる?
Re:審査というか踏み絵? (スコア:3, 興味深い)
>Googleに都合のいい修正じゃないと
>報奨金が出ないってことにならなきゃいいけど
それはそんなに大きな問題じゃないと思う。
Googleに都合が良い「脆弱性修正」にだけしか報奨金が出なくても、
そうでない時より悪くなることはないから。
Googleに都合が良くない「脆弱性修正」については、まあ今まで通りになるだけ。
それに脆弱性修正については、Googleにとって都合の良い/悪いと、
それ以外のユーザーにとっての良い/悪いとが、
そんなにかけ離れた物になるとも思えない。
#Googleに「だけ」都合が良くて、それ以外の人に都合の悪い「脆弱性修正」って、一体どんなのだ?
Re: (スコア:0)
>そうでない時より悪くなることはないから。
英語講師の殺人事件で懸賞金出すことにした時に「世の中には似た人もいる」とかいって情報を握りつぶしてしまったことがあったよね。
情報を検証する人に報奨金目当てだというバイアスが加わってしまうと、別の脆弱性を同一視してしまう可能性はないのだろうか。
Re: (スコア:0)
Googleに都合のよくない脆弱性修正パッチってどんなんだ
Re:審査というか踏み絵? (スコア:1)
ソフトウェアの機能変更が必要になるパッチとか?
#それによってGoogleでも内製のソフトの修正がひつようになるとか
元コメントについては、なんかよく理解できてないです。
懸念というか強迫症? (スコア:0)
全体的に、「そういうことにしたいんですね」という言葉しか出てこない…。
Google bless you!
Re: (スコア:0)
youtubeの広告ブロック機能とか、直接的にgoogleに都合が悪い訳でなくとも、広告主から
クレームが入る様なものってのはアリでは?
HDレコーダでCMを処理してくれるってやつが有った様な...。
CMといえば、
http://www.mecsumai.com/brand/detail/id/341 [mecsumai.com]
に禿シク抗議したい!
Re: (スコア:0)
それって脆弱性なの?
発見だけは払わないということか (スコア:0)
発見だけでは支払いは無しってことですね
基準はどこかに必要なので仕方はないが、なんとなくもやもやする線引きの仕方だ
問題を発見し、再現手順を整理したり再現コードを作るだけでも結構な手間なのに
お金が欲しいなら、コードを読んで直せというわけだ。
脆弱性の発見を促進するという目的ならマイナスにはならないものの効果が薄い気がする。
問題の存在だけあれば十分な闇市場のほうが魅力的かもしれんね
報奨金制度はこれが初めてでは無いし (スコア:0)
報奨金制度はこれが初めてでは無いし、いくらかのネガティブな事象は発生する可能性はあるでしょうが、過去の実績から考えて総合的には良好な結果を得られる見込みや運用ノウハウを得られているから拡大するんじゃないでしょうか。
そんなに悲観的になる事もないような気がします。