揪出問題編碼、秘撈 Google 賺大錢

上一篇報導提到微軟近日將巨額獎金頒發予一名來自英國的專家，目的旨在透過這些業餘的專家從而協助揪出軟件中的漏洞；其實 Google 亦有類似計劃，早前我們便報導過不同專家領取到 Google 獎金的資訊；近日 Google 便比對手更進一步，除了希望這些業餘專家能更深入地揪出編碼的設計弱點外，更將計劃擴展到非 Google 的開源軟件產品。

因此，Google 今天又再推出一個新的獎勵計劃，名為 patch rewards program；而假如你能透過此計劃找到軟件、編碼中的漏洞，Google 將會向有關專家頒發由 500 至 3133 美元獎金不等；Google 希望透過此計劃，讓專家能更深入地尋找軟件漏洞，例如從編碼設計上著手，從而增加知名開源軟件及 Google 產品的安全性。

其實找尋軟件漏洞將會成為一門新興行業，此前包括美國的 NSA 等大型機構亦宣佈願意支付一定的金額以換取軟件漏洞資訊；現時 Google 的 patch rewards program 專家將會檢視用戶上載的漏洞資訊，接著便會將這些資訊轉寄到不同的開源軟件公司，讓他們決定是否採用；一旦有關公司決定採用 Google 的建議並完成修正工作時，那發現漏洞的專家便可獲得 Google 頒發的獎金。

現時該計劃支援以下的軟件及平台：

1. 主要的網絡基建服務，包括有 OpenSSH、BIND、ISC DHCP
2. 主要的圖像處理基建元件，包括 libjpeg、libjpeg-turbo、libpng、giflib
3. 與 Google Chrome 有關的開源項目，包括 Chromium、Blink
4. 其他常用的元件，包括 OpenSSL、zlib
5. 與 Linux Kernel 有關的安全項目，當中 KVM 亦在計劃之中。
6. 被廣泛使用的網頁伺服器，包括 Apache httpd、lighttpd、nginx
7. 常用的 SMTP 服務，包括 Sendmail、Postfix、Exim
8. 改進以下項目的安全性，包括 GCC、binutils 及 llvm
9. 虛擬網絡項目，如 OpenVPN