パスワードを忘れた? アカウント作成
10088867 story
Google

Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供 11

ストーリー by headless
賞金 部門より
あるAnonymous Cowardのタレこみより。Googleは脆弱性情報に対する報奨金制度を主要なオープンソースソフトウェアにも拡大することを発表した(Google Online Security Blogの記事ITmediaエンタープライズの記事Ars Technicaの記事本家/.)。

ただし、報奨金プログラムによりバグ報告が殺到し、コミュニティーが処理しきれなくなる可能性があり、脆弱性は発見よりも修正に手間のかかることも多い。そのため、オープンソースソフトウェアに関しては、脆弱性報告だけでは報奨金は支払われない。報奨金を獲得するには、まずパッチをプロジェクトのメンテナーに送る。パッチが承認され、リポジトリーに追加後にGoogleに詳細を知らせると審査が行われ、内容によって500~3,133.7ドルの報奨金が支払われることになる。当初はOpenSSHのようなネットワークサービスの中心となるソフトウェアや、libjpegやOpenSSL、zlibなどの重要なライブラリー、Google Chromeのオープンソース基盤となるChromiumやBlink、セキュリティー上重要なLinuxカーネルのコンポーネントなどに限定される。今後はApacheやSendmail、OpenVPNなどにも拡大していく予定とのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年10月14日 13時44分 (#2476730)

    自分の発見を利用して誰かが先にパッチを作ってしまったら、パッチ作成者にお金が入るんですよね?
    それだと、誰もが「じゃあパッチを作成してから公開しよう」と思うでしょうから、
    脆弱性のみの報告が遅れることになるおそれがあります。
    むしろゼロデイ脆弱性が増えるのでは?

  • by Anonymous Coward on 2013年10月13日 18時43分 (#2476517)

    Googleに都合のいい修正じゃないと
    報奨金が出ないってことにならなきゃいいけど

    脆弱性発見して
    (Googleに都合のいい)パッチ作った人から
    突き上げられるメンテナー

    # 良心の試練がはじまる?

    • by firewheel (31280) on 2013年10月13日 20時32分 (#2476557)

      >Googleに都合のいい修正じゃないと
      >報奨金が出ないってことにならなきゃいいけど
      それはそんなに大きな問題じゃないと思う。

      Googleに都合が良い「脆弱性修正」にだけしか報奨金が出なくても、
      そうでない時より悪くなることはないから。

      Googleに都合が良くない「脆弱性修正」については、まあ今まで通りになるだけ。

      それに脆弱性修正については、Googleにとって都合の良い/悪いと、
      それ以外のユーザーにとっての良い/悪いとが、
      そんなにかけ離れた物になるとも思えない。

      #Googleに「だけ」都合が良くて、それ以外の人に都合の悪い「脆弱性修正」って、一体どんなのだ?

      親コメント
      • by Anonymous Coward

        >そうでない時より悪くなることはないから。
        英語講師の殺人事件で懸賞金出すことにした時に「世の中には似た人もいる」とかいって情報を握りつぶしてしまったことがあったよね。
        情報を検証する人に報奨金目当てだというバイアスが加わってしまうと、別の脆弱性を同一視してしまう可能性はないのだろうか。

    • by Anonymous Coward

      Googleに都合のよくない脆弱性修正パッチってどんなんだ

    • 全体的に、「そういうことにしたいんですね」という言葉しか出てこない…。
      Google bless you!

    • by Anonymous Coward

      youtubeの広告ブロック機能とか、直接的にgoogleに都合が悪い訳でなくとも、広告主から
      クレームが入る様なものってのはアリでは?
      HDレコーダでCMを処理してくれるってやつが有った様な...。

      CMといえば、
      http://www.mecsumai.com/brand/detail/id/341 [mecsumai.com]
      に禿シク抗議したい!

      • by Anonymous Coward

        それって脆弱性なの?

  • by Anonymous Coward on 2013年10月14日 11時05分 (#2476683)

    発見だけでは支払いは無しってことですね
    基準はどこかに必要なので仕方はないが、なんとなくもやもやする線引きの仕方だ
    問題を発見し、再現手順を整理したり再現コードを作るだけでも結構な手間なのに
    お金が欲しいなら、コードを読んで直せというわけだ。
    脆弱性の発見を促進するという目的ならマイナスにはならないものの効果が薄い気がする。
    問題の存在だけあれば十分な闇市場のほうが魅力的かもしれんね

  • by Anonymous Coward on 2013年10月14日 21時06分 (#2476847)

    報奨金制度はこれが初めてでは無いし、いくらかのネガティブな事象は発生する可能性はあるでしょうが、過去の実績から考えて総合的には良好な結果を得られる見込みや運用ノウハウを得られているから拡大するんじゃないでしょうか。

    そんなに悲観的になる事もないような気がします。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...