İnternet firmaları, yazılımlarındaki güvenlik açıklarını kitlesel kaynak kullanımı (crowdsource) modeliyle gidermeye devam ediyor. Google dün yaptığı bir açıklamayla birlikte şu ana dek güvenlik programları aracılığıyla açık avcılarına toplamda 2 milyon $ ödül dağıttıklarını duyurdu. Arama devi, Google Web Vulnerability Reward Program ve Chromium Vulnerability Reward Program adlı etkinliklerini sürdüreceklerini duyururken daha önce 1.000 $ olan açık bulma ödülünü de 5.000 $’a çıkarttıklarını açıklıyor.
Güvenlik açıkları, Google, Microsoft ve Oracle gibi yazılım sağlayıcılar veya Facebook ve Twitter gibi platformlar için son derece kritik öneme sahip. Firmalar bu alandaki sorunlarını çözmek için bir süredir özel ödül programları uygulamaya ve güvenlik ekipleri çalıştırmaktansa kitlenin gücüne yönelmeye başlamış durumdalar. Bir süre önce yayınlanan bir akademik araştırma da [1], güvenlik açığı ödüllendirme programlarının hem firmalar hem de açık avcıları için son derece karlı olduğunu gösteriyor. Google, Mozilla veya Microsoft gibi şirketler bu programlar sayesinde hem güvenlik masraflarını kısmış oluyorlar hem de genç ve yetenekli güvenlik araştırmacılarına ciddi bir motivasyon sunmuş oluyorlar.
Google, güvenlik açığı ödüllendirme programlarını 3 yıldır devam ettirmekte. Dün yapılan bir açıklamaysa arama devinin bu 3 yılda güvenlik araştırmacılarına ve açık avcılarına toplamda 2 milyon $ ödül verdiğini ortaya koyuyor. Üstelik firma bu programdan son derece memnun kalmış olmalı ki şimdi verilecek ödül miktarlarını da 5 katına dek artırma kararı almış durumda. Google’ın resmi blogundan yapılan açıklamaya göre daha önce 1.000 $ ödül verilen güvenlik açıkları için şimdi 5.000 $’a dek ödüllendirme yapılıyor olacak. Tabi bunun için açık avcılarının önce ilgili programlara kayıt yaptırmaları ve yayınlanan açık bildirim yönergelerini takip etmeleri şart.
[1]-An Empirical Study of Vulnerability Rewards Programs
Kaynak : 