Google, güvenlik araştırmacılarının dikkatlerini çekmek amacıyla, Chrome İnternet tarayıcısının özgür sürümü olan Chromium Projesi‘nin yazılım açıklarını tespit edenlere ödeme yapmaya başladı.
Resmi Chromium blogundan iletilen habere göre MS Windows, Mac OS X ve Linux platformları için geliştirilen Chromium ve Linux tabanlı Chrome OS’da da kullanılan Chromium “kodtabanında” tespit edilecek her bir açık için 500 dolar ödemeyi taahhüt ediyor.
Daha ileri bir teşvik olarak, şirketin güvenlik uzmanları kurulu tarafından “özellikle zorlu ya da beceri isteyen” olarak kabul edilecek hatalarda hoş bir fiyat artırımı yapılarak 1.337 dolar ödeme yapılabilecek. Şirket bu ücret artırımı kararını hangi kriterlere göre belirleyeceklerine dair bir bilgi vermemiş olsa da, blog iletisi özellikle ilgileneceklerinin “yüksek ve kritik etkili hatalar” olduğuna işaret ediyor.
Esin Kaynağı Mozilla Ekibi
Bir özgür yazılım projesinde, güvenlik açıklarını kontrol eden gözleri artırmak amacıyla ücret ödemesi yapılması ilk kez olan bir şey değil. Google bu son girişiminin, Mozilla Firefox ve Thunderbird’ün yaratıcısı Mozilla Vakfı’nın bir Mozilla tişörtü ve 500 dolar ödüllü Bug Bounty programına dayanmakta olduğunu kabul ediyor. Mozilla’nın uyguladığının aksine Google, aynı hatayı tespit eden farklı araştırmacıların olması durumunda adil bir şekilde ödülü paylaştırmayı planlamıyor, bunun yerine “ilk tespit eden ödülü alır” kuralını benimsiyor.
Bununla birlikte, hata tarafından etkilenmiş belirli bir kod parçası bölümü üzerinde çalışmış olan bir kimse, yeni “keşif”lere ortam hazırlayacak hataların oluşturulmasını önlemek amacıyla, yeni başvurulardan men ediliyor.
Güvenlik açığı raporlarına verilen ödül düşüncesi, güvenlik topluluğu tarafından genellikle farklı görüşlere neden oluyor; bazıları bunu şirketlerin güvenlik araştırıcılarını “susturmanın” ve ortaya çıkabilecek hatalarda kamu mahcubiyetini önlenmenin yolu olarak görürken; bazıları kritik güvenlik kusurlarını “ifşa etme sorumluluğunu” destekleme yolu olduğunu düşünüyor. Güvenlik araştırıcılarını bahsedilen ikinci bakış açısına yönlendirmek adına, Google, üstü kapalı bir şekilde araştırmacılar tarafından şirketin dikkatine sunulmadan ortaya çıkarılan hatalarda ödüllendirme yapılmayacağını ima etmesine rağmen, “bir kez çözüldükten sonra” güvenlik açıklarının kamuya mal edilmesinin herhangi bir sorun teşkil etmeyeceğini bildirdi.