Program bounty pepijat yang disediakan oleh syarikat besar untuk memberi ganjaran dan mengiktiraf penyelidik keselamatan kerana melaporkan pepijat baharu dan kelemahan keselamatan dengan betul adalah konsep yang bagus, tetapi dalam amalan tidak selalu dikendalikan dengan baik. Penyelidik keselamatan Adam Zabrocki baru-baru ini berkongsi masalah yang dia hadapi dalam pengendalian karunia pepijat di Google untuk OS Chrome dan seterusnya untuk Intel yang telah menjadi kelemahan pemacu grafik kernel Linux i915.
Adam Zabrocki ialah penyelidik keselamatan yang akhirnya menemui kerentanan pemacu grafik kernel”i915″Intel Linux ini yang didedahkan kepada umum awal bulan ini. Potensi capaian memori di luar sempadan boleh membawa kepada peningkatan keistimewaan untuk pengguna tempatan. Dia menemui masalah itu tahun lepas tetapi kemudian menyerahkannya kepada Google sebagai sebahagian daripada program hadiah pepijat OS Chrome mereka kerana grafik Intel biasanya digunakan dengan Chromebook. Dia akhirnya mendapat pelarian daripada Google dan Intel semasa dalam proses menyelesaikan pembetulan pemacu kernel i915 pada asalnya tidak dikaitkan sebagai melaporkan pepijat.
Zabrocki menulis catatan blog yang panjang tentang cabaran dalam menangani habuan pepijat daripada pengalamannya bekerja dengan Google dan Intel. Ia adalah bacaan yang panjang tetapi agak menarik dan menggariskan bidang pengendalian karunia pepijat yang saya tidak tahu.
Antara pengajaran yang dikongsikan oleh Zabrocki:
“Pengalaman saya dengan habuan pepijat jauh lebih teruk daripada yang saya jangkakan. Terutamanya sikap Google yang berdiam diri selama-lamanya sehingga keadaan menjadi teruk/jelas salah. Kemudian, mereka cuba untuk meletakkan tanggungjawab untuk segala-galanya pada Intel dan yakinkan saya bahawa itu bukan masalah mereka walaupun pepijat telah dilaporkan kepada mereka, dan bahawa mereka mengendalikan komunikasi dengan sangat baik(!). Sebagai penyelidik, apa yang boleh anda lakukan? Tiada apa-apa.
Intel rosak teruk, tetapi mereka cuba sedaya upaya untuk membetulkan apa yang mereka kacau (dan perkara yang masih boleh diperbaiki pada ketika itu). Bertentangan dengan sikap Google, Intel tidak menyalahkan sesiapa dan mereka tidak cuba untuk meyakinkan saya bahawa mereka telah melakukan yang terbaik dan mereka tidak mengenepikan.
Perlu disebut bahawa Intel secara rasmi memohon maaf atas cara kes ini dikendalikan: “(…) Kami ingin memohon maaf atas cara kes ini telah dikendalikan. Kami faham bolak-balik dengan kami telah mengecewakan dan proses yang panjang. (…)“. Walau bagaimanapun, tiada perkara seperti itu berlaku di pihak Google.
Jika pepijat ini benar-benar berharga dari perspektif kebolehgunaan, nampaknya masih pilihan terbaik adalah menghapuskan kenalan broker lama (jika kita mengetepikan persoalan moral). Mereka tidak pernah gagal begitu banyak (sekurang-kurangnya itu pengalaman saya), walaupun mereka juga tidak ideal.
Btw. Untuk bersikap adil, terdapat juga contoh positif program hadiah pepijat”
Baca lebih lanjut tentang pengalaman hadiah pepijat Adam di blog.
