Google, güvenlik araştırmacılarının dikkatlerini çekmek amacıyla, Chrome İnternet tarayıcısının özgür sürümü olanChromium Projesi‘nin yazılım açıklarını tespit edenlere ödeme yapmaya başladı.
Resmi Chromiumblogundaniletilen habere göre MS Windows, Mac OS X ve Linux platformları için geliştirilen Chromium ve Linux tabanlı Chrome OS’da da kullanılan Chromium “kodtabanında” tespit edilecek her bir açık için500 dolarödemeyi taahhüt ediyor.
Daha ileri bir teşvik olarak, şirketin güvenlik uzmanları kurulu tarafından “özellikle zorlu ya da beceri isteyen” olarak kabul edilecek hatalarda hoş bir fiyat artırımı yapılarak1.337 dolarödeme yapılabilecek. Şirket bu ücret artırımı kararını hangi kriterlere göre belirleyeceklerine dair bir bilgi vermemiş olsa da, blog iletisi özellikle ilgileneceklerinin “yüksek ve kritik etkili hatalar” olduğuna işaret ediyor.
Esin Kaynağı Mozilla Ekibi
Bir özgür yazılım projesinde, güvenlik açıklarını kontrol eden gözleri artırmak amacıyla ücret ödemesi yapılması ilk kez olan bir şey değil. Google bu son girişiminin, Mozilla Firefox ve Thunderbird’ün yaratıcısı Mozilla Vakfı’nın bir Mozilla tişörtü ve 500 dolar ödüllüBug Bountyprogramına dayanmakta olduğunu kabul ediyor. Mozilla’nın uyguladığının aksine Google, aynı hatayı tespit eden farklı araştırmacıların olması durumunda adil bir şekilde ödülü paylaştırmayı planlamıyor, bunun yerine “ilk tespit eden ödülü alır” kuralını benimsiyor.
Bununla birlikte, hata tarafından etkilenmiş belirli bir kod parçası bölümü üzerinde çalışmış olan bir kimse, yeni “keşif”lere ortam hazırlayacak hataların oluşturulmasını önlemek amacıyla, yeni başvurulardan men ediliyor.
Güvenlik açığı raporlarına verilen ödül düşüncesi, güvenlik topluluğu tarafından genellikle farklı görüşlere neden oluyor; bazıları bunu şirketlerin güvenlik araştırıcılarını “susturmanın” ve ortaya çıkabilecek hatalarda kamu mahcubiyetini önlenmenin yolu olarak görürken; bazıları kritik güvenlik kusurlarını “ifşa etme sorumluluğunu” destekleme yolu olduğunu düşünüyor. Güvenlik araştırıcılarını bahsedilen ikinci bakış açısına yönlendirmek adına, Google, üstü kapalı bir şekilde araştırmacılar tarafından şirketin dikkatine sunulmadan ortaya çıkarılan hatalarda ödüllendirme yapılmayacağını ima etmesine rağmen, “bir kez çözüldükten sonra” güvenlik açıklarının kamuya mal edilmesinin herhangi bir sorun teşkil etmeyeceğini bildirdi.