forum.opennet.ru

Составление сообщения

Исходное сообщение

"Итоги инициативы Google по повышению безопасности популярног..."
Отправлено opennews, 10-Окт-14 11:31

Михаил Залевский (Michal Zalewski) из Google Security Team подвёл (http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la... итоги года действия (https://www.opennet.ru/opennews/art.shtml?num=38123) программы (https://www.opennet.ru/opennews/art.shtml?num=38467) выплаты денежных вознаграждений за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению проблем с безопасностью в популярном сетевом и системном свободном ПО.

Из участвовавших в программе успешных  разработок отмечается:
-  Внедрение (https://github.com/django/django/commit/52ef6a47269a455113d9... проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения;
-  Интеграция (https://source.isc.org/cgi-bin/gitweb.cgi?p=bind9.git;a=comm... в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf;
-  Добавление (http://git.libssh.org/projects/libssh.git/tree/doc/curve2551... в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов;
-  Разработка патчей (http://lwn.net/Articles/600362/), ограничивающих доступ к /proc/pid для предотвращения утечек информации о работе механизма ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomiza... (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных обращением к некорректным областям памяти;
-  Разработка патча (http://www.openwall.com/lists/oss-security/2014/09/25/13), привязывающего (https://www.opennet.ru/opennews/art.shtml?num=40702) обработку функций в переменных окружения Bash к именам, снабжённым префиксом "BASH_FUNC_" для обхода новых  Shellshock-уязвимостей в Bash;
Кроме того, можно отметить увеличение (http://googleonlinesecurity.blogspot.ru/2014/09/fewer-bugs-m...с 5 до 15 тысяч долларов максимальной суммы за выявление связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, за сверхинтересные и важные методы атаки сумма может доходить до 30 тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже выплачено более 1.25 млн долларов.
URL: http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la...
Новость: https://www.opennet.ru/opennews/art.shtml?num=40792

Исходное сообщение
"Итоги инициативы Google по повышению безопасности популярног..." Отправлено opennews, 10-Окт-14 11:31
Михаил Залевский (Michal Zalewski) из Google Security Team подвёл (http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la... итоги года действия (https://www.opennet.ru/opennews/art.shtml?num=38123) программы (https://www.opennet.ru/opennews/art.shtml?num=38467) выплаты денежных вознаграждений за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению проблем с безопасностью в популярном сетевом и системном свободном ПО. Из участвовавших в программе успешных разработок отмечается: - Внедрение (https://github.com/django/django/commit/52ef6a47269a455113d9... проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения; - Интеграция (https://source.isc.org/cgi-bin/gitweb.cgi?p=bind9.git;a=comm... в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf; - Добавление (http://git.libssh.org/projects/libssh.git/tree/doc/curve2551... в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов; - Разработка патчей (http://lwn.net/Articles/600362/), ограничивающих доступ к /proc/pid для предотвращения утечек информации о работе механизма ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomiza... (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных обращением к некорректным областям памяти; - Разработка патча (http://www.openwall.com/lists/oss-security/2014/09/25/13), привязывающего (https://www.opennet.ru/opennews/art.shtml?num=40702) обработку функций в переменных окружения Bash к именам, снабжённым префиксом "BASH_FUNC_" для обхода новых Shellshock-уязвимостей в Bash; Кроме того, можно отметить увеличение (http://googleonlinesecurity.blogspot.ru/2014/09/fewer-bugs-m...с 5 до 15 тысяч долларов максимальной суммы за выявление связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, за сверхинтересные и важные методы атаки сумма может доходить до 30 тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже выплачено более 1.25 млн долларов. URL: http://googleonlinesecurity.blogspot.ru/2014/10/news-from-la... Новость: https://www.opennet.ru/opennews/art.shtml?num=40792

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Михаил Залевский (Michal Zalewski) из Google Security Team подвёл (http://googleonlinesecurity.blogspot.ru/2014/10/news-from-land-of-patch-rewards.html) 
> итоги года действия (https://www.opennet.ru/opennews/art.shtml?num=38123) программы 
> (https://www.opennet.ru/opennews/art.shtml?num=38467) выплаты денежных вознаграждений 
> за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению 
> проблем с безопасностью в популярном сетевом и системном свободном ПО.

> Из участвовавших в программе успешных  разработок отмечается:

> -  Внедрение (https://github.com/django/django/commit/52ef6a47269a455113d95992f868939131f9c10c) 
> проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения; 
 
> -  Интеграция (https://source.isc.org/cgi-bin/gitweb.cgi?p=bind9.git;a=commitdiff;h=06ad948626807553465393f93459774173a7876e) 
> в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf; 
> -  Добавление (http://git.libssh.org/projects/libssh.git/tree/doc/curve25519-sha256@libssh.org.txt) 
> в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов; 
> -  Разработка патчей (http://lwn.net/Articles/600362/), ограничивающих доступ к /proc/pid 
> для предотвращения утечек информации о работе механизма ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomization) 
> (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных 
> обращением к некорректным областям памяти; 
> -  Разработка патча (http://www.openwall.com/lists/oss-security/2014/09/25/13), привязывающего 
> (https://www.opennet.ru/opennews/art.shtml?num=40702) обработку функций в переменных 
> окружения Bash к именам, снабжённым префиксом "BASH_FUNC_" для обхода новых  
> Shellshock-уязвимостей в Bash;

> Кроме того, можно отметить увеличение (http://googleonlinesecurity.blogspot.ru/2014/09/fewer-bugs-mo-money.html) 
>  с 5 до 15 тысяч долларов максимальной суммы за выявление 
> связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, 
> за сверхинтересные и важные методы атаки сумма может доходить до 30 
> тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже 
> выплачено более 1.25 млн долларов.

> URL: http://googleonlinesecurity.blogspot.ru/2014/10/news-from-land-of-patch-rewards.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=40792

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру