Компания Google опубликовала список проектов Open Source, которые она защищает своей программой выплаты вознаграждения за баги. Причем в данном случае вознаграждаются не только баги, но и любые улучшения в безопасности системы: переход на более защищенный аллокатор памяти, разделение привилегий, внедрение поддержки ASLR. Что угодно.
За улучшения в нижеперечисленных программах можно получить вознаграждение от Google точно так же, как за обнаружение уязвимостей в сервисе Gmail или браузере Chrome.
- Ключевые инфраструктурные сетевые сервисы: OpenSSH, BIND, ISC DHCP
- Ключевые инфраструктурные парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
- Открытые проекты в основании Google Chrome: Chromium, Blink
- Другие важные библиотеки: OpenSSL, zlib
- Критически важные, повсеместно используемые компоненты ядра Linux (включая KVM)
В будущем программу планируется расширить на следующие проекты.
- Популярные веб-серверы: Apache httpd, lighttpd, nginx
- Популярные SMTP-сервисы: Sendmail, Postfix, Exim
- Инструменты безопасности для GCC, binutils, и llvm
- Виртуальные частные сети: OpenVPN
Для того, чтобы претендовать на награду, надо закоммитить свой патч в репозиторий и уведомить об этом компанию Google по адресу security-patches@google.com с указанием всех подробностей.
Размер вознаграждений составляет от $500 до $3133,7.
