Михаил Залевский (Michal Zalewski) из Google Security Team подвёл (http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la... итоги года действия (https://www.opennet.ru/opennews/art.shtml?num=38123) программы (https://www.opennet.ru/opennews/art.shtml?num=38467) выплаты денежных вознаграждений за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению проблем с безопасностью в популярном сетевом и системном свободном ПО.
Из участвовавших в программе успешных разработок отмечается:
- Внедрение (https://github.com/django/django/commit/52ef6a47269a455113d9... проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения;
- Интеграция (https://source.isc.org/cgi-bin/gitweb.cgi?p=bind9.git;a=comm... в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf;
- Добавление (http://git.libssh.org/projects/libssh.git/tree/doc/curve2551... в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов;
- Разработка патчей (http://lwn.net/Articles/600362/), ограничивающих доступ к /proc/pid для предотвращения утечек информации о работе механизма ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomiza... (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных обращением к некорректным областям памяти;
- Разработка патча (http://www.openwall.com/lists/oss-security/2014/09/25/13), привязывающего (https://www.opennet.ru/opennews/art.shtml?num=40702) обработку функций в переменных окружения Bash к именам, снабжённым префиксом "BASH_FUNC_" для обхода новых Shellshock-уязвимостей в Bash;
Кроме того, можно отметить увеличение (http://googleonlinesecurity.blogspot.ru/2014/09/fewer-bugs-m...с 5 до 15 тысяч долларов максимальной суммы за выявление связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, за сверхинтересные и важные методы атаки сумма может доходить до 30 тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже выплачено более 1.25 млн долларов.
URL: http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la...
Новость: https://www.opennet.ru/opennews/art.shtml?num=40792