Google planea ofrecer recompensas a los desarrolladores que mejoren de forma proactiva la seguridad en los programas de software open-source más extendidos.
Su idea de Google es mejorar la seguridad de los programas de terceros para que así también mejore la salud de Internet al completo, según escribió en un blog Michael Zalewski, miembro del equipo de seguridad de la firma.
Google ha decidido crear un programa de código open source. La empresa describe esta nueva iniciativa diciendo que “muchas de las vulnerabilidades que obedecen a errores de codificación pueden prevenirse, o son más fáciles de explotar por la inexistencia de simples técnicas para erradicarlas. Esperamos poder hacerles frente en cierta medida”. Esta programa de Google busca incluir arreglos que afecten a la separación de privilegios, arreglos que mejoren la memoria y otros ajustes de programación.
Los proyectos de código abierto suelen estar mantenidos por voluntarios no pagados, aunque algunas compañías que han puesto en marcha empresas alrededor del software open source disponen de empleados a tiempo completo que contribuyen al código.
El programa de Google añade un incentivo económico para lo que habitualmente era trabajo realizado por pura dedicación. Google ya cuenta con un programa de recompensas por la búsqueda de errores, pero sólo se aplica a sus propios productos.
La compañía ha recogido varios de los programas y librerías de código abierto Googlemás utilizados para la creación de redes, análisis de imagen y seguridad. Es difícil encontrar una empresa u organización que no utilice algunos de ellos. Entre las opciones, figuran OpenSSH, OpenSSL, BIND y programas de análisis de imagen, como libjpeg y libpng. Otras incluyen componentes comunes del kernel de Linux (incluida la KVM – máquina virtual basada en el kernel), además de los fundamentos open source de Google Chrome, incluido el navegador Chromium y su motor de representación, Blink.
Posiblemente, el programa se extienda a servidores web, como Apache y nginx, servicios SMTP, como Sendmail y Postfix, y software VPN, como OpenVPN, entre otros, reconoce Zalewski. Los parches y mejoras deben enviarse al personal que mantiene el proyecto en [email protected]
Jeremy Kirk. IDG News Service