Комментарии 21
Если я являюсь одним из основных разработчиков проекта, я могу участвовать в программе вознаграждений?1. Я, как разработчик, специально предусмотрел уязвимость, которая пошла в продакшн.
В большинстве случаев — да.
2. Написал патч.
3. ???
4. Получил от $500 до $3,133.7
+14
Слишком палевно. Сам напортачил, сам исправил — ссзб. А вот предусмотрел дырку, сообщил о ней корешу, он от себя внёс патч, распилили на двоих 3133.7 — другое дело :)
Если серьёзно, то не думаю, что в гугле там все дураки сидят, вся история изменений в публичных репах проектов есть, и понять, уязвимость была допущена с умыслом или нет, можно. Более того, злой умысел должен предпринять не один разработчик, а сразу несколько, учитывая контрольные схемы ревьюера, мейнтейнера и других.
Если серьёзно, то не думаю, что в гугле там все дураки сидят, вся история изменений в публичных репах проектов есть, и понять, уязвимость была допущена с умыслом или нет, можно. Более того, злой умысел должен предпринять не один разработчик, а сразу несколько, учитывая контрольные схемы ревьюера, мейнтейнера и других.
+11
1. Я, как разработчик, специально предусмотрел уязвимость, которая пошла в продакшн.вы гарантированно не один из основных разработчиков ЭТИХ проектов.
+17
НЛО прилетело и опубликовало эту надпись здесь
Вау, разработчик OpenSSH на линии!
+1
Наверное у каждого второго русского промелькнула эта мысль. Почему мы такие? Даже обидно…
0
Главное теперь чтобы при таком подходе девелоперы не оставляли дыры в продуктах заранее, чтобы потом их пофиксить и лишние денежки получить)
-5
Ха, добавили бы в эту инициативу %сами знаете что% =)
-6
Хитрый план. Имхо, так вычисляют интересных для Гугла программистов.
+2
Отличное начинание, которое позволит проектам избавляться от ошибок быстро. Правда странно, что за исправление известной уязвимости не платят — если уязвимость висит, то почему ее исправление не считается ценным (пусть и на минимальную сумму).
+5
Философски: А как понять, баг является уязвимостью или нет? А то этих багов...
+2
Одному мне кажется, что ответы на пункты ЧаВо «Если уязвимость уже была известна, и я её исправил, то могу я получить награду?» и «Почему вы оплачиваете именно исправление уязвимостей, а не их обнаружение?» противоречат друг другу? Исправить важнее, чем найти, но за исправление уже известного платить скорее всего не будем.
+2
1337
Мило.
Мило.
+4
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Google начинает выплачивать вознаграждения за исправление уязвимостей в проектах с открытым исходным кодом