Jócskán növeli a bugvadászok jutalmát a Mozilla
Növeli a tétet a Mozilla, a vállalat termékeinek biztonsági hibáit felfedező szakértők a kritikus sebezhetőségekért már akár 7500 dollárt is zsebre tehetnek. A cég emellett mostantól egyes közepes hibákért is oszt jutalmat, a felső határ itt 2500 dollár.
Rákapcsol a biztonsági szakértők motiválására a Mozilla, a vállalat több mint duplájára emeli a termékeiben talált, kritikus sebezhetőségekért kiosztható vérdíjat. A cég azt reméli, a jelentősen növelt jutalmak több fejlesztőt ösztönöznek majd, hogy felkutassák, illetve jelentsék az asztali, illetve androidos Firefox, a Thunderbird és a FirefoxOS biztonsági hibáit. A pénzjutalom mellett a sebezhetőségeket lefülelő szakértők nevét immár hivatalosan is bejelentett dicsőségtábláján is közzéteszi.
Ahogy a vállalat kapcsolódó blogposztjában írja, a program komolyan hozzájárult a böngésző védelmi vonalainak erősítésében, a hibákat levadászó fejlesztőknek a cég eddig összesen 1,6 millió dollárt osztott ki. A Mozilla legutóbb öt évvel ezelőtt növelte a jutalmak összegét, akkor a kritikus, illetve súlyos biztonsági résekért 3000 dollárt adott - a cég szerint azonban itt volt az ideje egy újabb emelésnek, a kategória díjai a korábbi maximumról, 3000 dollárról indulnak, azok felső határát pedig a vállalat 7500 dollárra tolta ki. A Mozilla ugyanakkor itt még nem áll meg: a kivételes, újfajta biztonsági rések megtalálóinak akár több mint 10 ezer dollárt is hajlandó fizetni.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A 7500 dolláros összegre azok a szakértők pályázhatnak jó eséllyel, akik az adott hibát és annak kihasználási módjait részleteiben ismertetik. A cég itt példaként a más biztonsági rések használata nélküli, távoli kódfuttatást hozza fel. De nem csak a kritikus sebezhetőségek felfedezői örülhetnek, a Firefox fejlesztője ugyanis a jövőben az arra érdemesnek ítélt, közepes veszélyt jelentő hibák megtalálóinak is fizet, 500-2500 dollárig. A felfedezett sebezhetőségeket a hagyományos módon, a bugzilla.mozilla.org felületén lehet jelenteni, Bugzilla profil birtokában, és nem árt, ha a pályázók egy-egy példaesetet is mellékelnek a talált problémához.
A megtalált hibáknak persze néhány feltételnek meg kell felelniük: a biztonsági hiba valamiféle távolról kihasználható bug, a jogosultságok kiterjesztését okozó hiba vagy adatszivárgás kell legyen. A felfedező továbbá értelemszerűen nem lehet az adott, problémás kód alkotója, valamint a Mozilla vagy leányvállalatainak dolgozója - az sem meglepő továbbá, hogy a jutalom csak a korábban fel nem fedezett sebezhetőségekért jár. Ha egy csapat közösen jelent hibát, a vérdíjat a cég elosztja közöttük.
A vérdíjas rendszer számos vállalatnál jól bevált megoldás a biztonsági rések kiszűrésére, azt többek között a Google is jó ideje használja - sőt a keresőóriás, bár az egy-egy hibáért adható összegekből visszavett, idén februárban eltörölte az egy évben a területen maximálisan kiosztható pénzek felső határát. A rendszernek egyébként több előnye is van: egyrészt kvázi másodállást, bevételi forrást ad a profi és amatőr biztonsági szakértőknek, másrészt pedig az egyre tetemesebb összegekkel arra is motiválja őket, hogy a talált hibákat ne a feketepiacon értékesítsék - ahol egyébként szintén nagy a kereset a sebezhetőségekre.