Durante un tiempo, muchas personas dedicadas al análisis de seguridad de software se han visto en una encrucijada. Si yo descubro un fallo de seguridad importante en una aplicación determinada, ¿debo comunicárselo a la compañía y esperar a que lo arreglen sin llevarme un duro, o mejor vendo ese conocimiento a una empresa que pueda aprovechar ese fallo en su propio interés?
Esto ha sido durante bastante tiempo la pregunta a la que se han enfrentado muchas de estas personas. Con el propósito de evitar de todas las formas posibles el llegar a esa situación, Mozilla y Google llevan ya tiempo trabajando en lo que se conoce como bug bounty: un sistema a través del cual aquella persona que encuentre un fallo de seguridad de este tipo podrá llevarse una buena suma de dinero.
Obviamente, descubrir este tipo de errores no está al alcance de todos ni tampoco se acepta cualquier tipo de problema como válido. En los principales blogs de ambas compañías se pueden encontrar amplia serie de requisitos que estos bugs deberán cumplir para que puedan ser considerados dentro de la categoría de Severity Security Bugs.
En cuanto a las cantidades se refiere, que es parte de la curiosidad de este tipo de iniciativas, Mozilla subió hace escasos días su oferta hasta $3000 dólares, dependiendo de la importancia que desde la propia empresa le den a un bug en concreto.
Viendo este movimiento, y como no puede ser de otra forma, Google se ha apuntado al carro de las subidas en las últimas horas y ofrece ahora $3133.7 dólares. ¿La diferencia entre una cantidad y otra? 133,7, leet para el resto de los mortales. De todas formas, y dejando las bromas aparte, toda iniciativa que tenga como fin el mejorar la seguridad del software que usamos a diario será, en principio, bienvenida.
Vía | Mozilla Blog y Chromium Blog
Requisitos a cumplir por el bug | Mozilla Blog y Google’s Severity Guidelines for Security Issues
Ver 26 comentarios