Találjon hibát a Chrome-ban: fizet érte a Google

A bétatesztelésnek és a publikus bug-vadászatnak már nagy hagyománya van, főleg a nyílt forráskódú szoftverek esetében. De azért az már nem mindennapos, hogy minden egyes hiba felfedezéséért ötszáz dollárt kapjunk.

Az első hivatalos információ  a pénzes hibavadászatról Chris Evans „Chromium Project ”blogjában jelent meg, a hétvégén. A Google mindenkinek ötszáz dollárt fizet, aki feltár egy jelentős biztonsági hiányosságot a Chrome forráskódjában (némi programozói véna tehát nem árt, mielőtt belefogunk a bug-vadászatba). Természetesen nem elég megmondanunk, hogy mi a hiba, rá is kell mutatnunk, hogy valószínűleg hol található a kódban, persze kijavítanunk már nem kell. A normális hibák ötszáz, a nagyobb exploit-ok azonban 1337 dollárt érnek – azért pontosan 1337-et, mert ez a szám egy referencia a „leet” kifejezésre, illetve nyelvre, és mint tudjuk a Google szereti a mókát utalásokat.

Maga a Chrome OS nem része a programnak, csak a Chromium – a nyílt forráskódú keret, amire a Chrome épül. Szintén fizetnek a kiegészítőkben talált hibákért is, hiszen mint pl. a Google Gears.Evans is rámutat: „Igaz, sok tehetséges fejlesztővel dolgozunk, jól tudjuk azonban, hogy a felhasználók között még több és még okosabb fejlesztő van, mint amennyi nálunk valaha dolgozni fog.

Éppen ezért szívesen vesszük a segítséget.” A felhasználók tavaly tíz olyan kritikus hibát jelentettek, ami nagyban segítette a Chrome biztonságosság tételét. Innen jött az ötlet, miszerint érdemes lenne a felhasználók bejelentéseit „szponzorálni”. A beküldött hibának azonban minimum magas vagy kritikus jellegűnek kell lennie, legalábbis ha meg akarjuk kapni a fejpénzt. Hogy mi számít a Google szerint kritikusnak, ahhoz itt található egy kis segítség.

Ha esetleg többen is megtalálják ugyanazt a hibát, akkor az elsőnek beküldő kapja a pénzt, a többiek már nem. Ráadásul a hibát megtaláló user még egy „Thank You” kreditet is kap a következő Chrome frissítés stáblistájában. Kuba, Irán, Észak-Korea, Szudán és Szíria nem vehet részt a játékban, valamint a hibát beküldőknek a nagykorúságukat is igazolniuk kell – ezen felül azonban nincsen megkötés, így mi, magyarok is kereshetjük a bugokat, ha van kedvünk és tehetségünk.

Pedram Amini, a 3com biztonsági szakembere szerint (ők üzemeltetik a leghíresebb fizetős bug-kereső oldalt, a ZDI-t) a Google lépésének az lehet az oka, hogy bár a Chrome viszonylag elterjedt, annyira azonban mégsem, hogy elérje azt a kritikus felhasználói és hozzáértő tömeget, mint a Firefox. A Mozilla böngészőjében ugyanis szinte naponta vesznek észre hibákat a felhasználók, és küldik be ezeket a fejlesztőknek, sokszor magával a javított kóddal együtt – ezt a felhasználói támogatást irigyelhette meg a Google. Hogy az ötszáz dolláros fejpénz segít-e a hibajavításban, azt még nem tudni, az ötlet mindenesetre jó, bár nem egyedi.

A Mozilla ugyanis már 2004 óta üzemelteti 500 dolláros hibakereső-programját  „Bug Bounty” néven. Érdeklődésünkre, hogy mit szólnak az ötlet „lenyúlásához”, illetve, hogy mennyit fizettek ki 2004 óta az ötszáz dolláros adagokból, a Mozilla nem kívánt nyilatkozni. Az előbb említett ZDI szintén fizet a hibák megtalálásáért (ők Internet Explorer és Firefox, Safari és iPhone hibákért fizetnek), de Amini elmondása szerint „nem tekintjük ezen a téren versenytársnak a Google-t, a mi programunk jóval összetettebb”. A ZDI amúgy jóval többet fizet ötszáz dollárnál – megy is nekik az üzlet, a múlt havi kritikus Internet Explorer hibákból, nyolcat a ZDI „fejvadászai” találtak meg. Pedram Amini szerint „… az igazán komoly hibák akár harmincezer dollárt is megérnek a piacon”.