News : Google zahlt für das Verbessern der Sicherheit freier Software

, 13 Kommentare

Bereits mit der Prämierung von gefundenen Sicherheitslücken in seinen Produkten hat Google bewiesen, dass das Unternehmen den Wert der freien Entwicklergemeinde verstanden hat und zu schätzen weiß. Jetzt erweitert Google das Programm, um allgemein die Sicherheit freier Software über die reine Fehlerbereinigung hinaus zu fördern.

Google möchte das neue Prämien-Programm langsam ausbauen und die weitere Entwicklung von den Einreichungen der nächsten Monate abhängig machen. Die Google-Entwickler aus Mountain View denken dabei an tiefergehende Verbesserungen an essentiellen Werkzeugen freier Software. Dabei könnte es sich beispielsweise um die Verbesserung der Sicherheit durch eine sinnvollere Verteilung der Privilegien ebenso handeln wie um die Aktivierung von ASLR oder die Behebung von Race Conditions.

Für die erste Runde hat Google neben den hauseigenen Programmen Chromium und Blink den Fokus auf die Netzwerk-Dienste OpenSSH, BIND, ISC DHCP, die Bibliotheken OpenSSL und Zlib, sicherheitsrelevante Komponenten des Linux-Kernels wie etwa KVM und die Image-Parser libjpeg, libjpeg-turbo, libpng und giflib gelegt. Als nächstes soll das Programm um populäre Webserver, SMTP-Dienste, Toolchain-Werkzeuge wie GCC, und Netzwerktools wie OpenVPN erweitert werden.

Teilnehmer senden ihre Patches direkt an die Maintainer des betreffenden Programms. Werden diese akzeptiert und fließen in die nächste Version der Software ein, so kann die einreichende Person dies an Google melden. Google prüft dann, ob die Einreichung eine nachweislich positive Auswirkung auf das Projekt hat. Im Fall der Qualifizierung winken Prämien von 500 bis 3.133,70 US-Dollar. Für herausragende oder besonders umfangreiche Einreichungen kann im Ausnahmefall auch auf eine höhere Prämie erkannt werden. Prämien können auch gespendet werden, in diesem Fall legt Google die gleiche Summe obendrauf. Die genauen Teilnahmebedingungen hat Google auf der Seite Application Security zusammengefasst.