Egyre többet fizet a Google a Chrome-bugokért
Az egynapos Pwnium versenynek búcsút intve, már egész évben komoly pénzjutalmat oszt a Google a Chrome OS rendszerében és hasonló nevű böngészőjében felfedezett hibákért. Az egy bugért kifizethető maximális összeg csökkent, az egy évben összesen kiszórható keret felső határát viszont eltörölte a cég.
Megszünteti évente megrendezett Pwnium eseményét a Google: a Chorme böngésző, illetve a Chrome OS amatőr vagy profi bugvadászai immár egész évben, a versenyt idéző mértékű jutalom reményében jelezhetik az újonnan felfedezett sebezhetőségeket a keresőóriásnak. Az egynapos Pwniumot a vállalat négy évvel ezelőtt rendezte meg először, azóta pedig minden évben ezen a napon osztotta ki a legkomolyabb összegeket a szoftvereiben talált biztonsági hibákért cserébe.
Bár a Google szerint a kezdeményezésnek köszönhetően így is számos sebezhetőséget sikerült lefülelni, annak kiterjesztésével a hibák jóval hamarabb befoltozhatók. A biztonsági szakértőknek komoly motivációt jelentő pénzjutalom nemcsak megmarad, de az arra szánt, eddig jellemzően fix összeghatárt is eltörli a vállalat, így elméletben semmilyen korlát nem vonatkozik rá, hogy egy év alatt mennyi pénzt oszthat ki a biztonsági rések felfedezőinek. Ahogy a cég egyik biztonsági szakértője Tim Willis blogposztjában fogalmazott, a felső határ "∞ millió dollár". Az egyetlen hibáért kapható maximális összege mérete viszont ezzel párhuzamosan csökkent, a cég azt a korábbi, akár 150 ezer dollár helyett 50 ezer dollárnál szabja meg.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A keresőóriás emellett a nehézkes nevezési feltételeken is jócskán lazít. A versenyre jelentkezőknek korábban többek között előre kellett regisztrálni és a rendezvényen is meg kellett jelenni, utóbbi pedig értelemszerűen sokak számára nagyban megnehezítette a részvételt. Az új rendszerben a szakértők bármikor jelezhetik a felfedezett bugokat a Chrome Vulnerability Reward Programon (VRP) keresztül. Az egész éves jutalomprogram továbbá a hibák visszatartásának is elejét veszi, eddig ugyanis a megtalált bugokat - különösen a nagyobb jutalommal kecsegtető biztonsági réseket - a szakértők hajlamosak voltak a verseny napjáig visszatartani, hogy azok bejelentéséért honoráriumban is részesüljenek. Ez érthető módon sem a vállalat sem pedig a hibák felfedezői számár nem volt előnyös megoldás.
Hogy egy-egy bejelentett buggal kapcsolatban pontosan milyen feltételeknek kell teljesülni, hogy azokért a vállalat pénzjutalmat adjon, azt a cég a fentebb említett VRP oldalán taglalja. Willis bejegyzésének végén ugyanakkor hozzáteszi, hogy a jutalomprogram egyelőre kísérleti státuszban van, azt a Google bármikor visszavonhatja - erre azonban kicsi az esély, jelenleg úgy tűnik, a kezdeményezés a keresőóriás és a bugvadászok számára is jövedelmező lesz.