Месяц назад компания Google опубликовала список проектов Open Source которые она защищает своей программой выплаты вознаграждений за баги. Причем в данном случае вознаграждаются не только баги, но и любые улучшения в безопасности системы: переход на более защищенный аллокатор памяти, разделение привилегий, внедрение поддержки ASLR и т.д.

Проекты, которые вошли в первоначальный список, перечислены ниже.

  • Ключевые инфраструктурные сетевые сервисы: OpenSSH, BIND, ISC DHCP
  • Ключевые инфраструктурные парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
  • Открытые проекты в основании Google Chrome: Chromium, Blink
  • Другие важные библиотеки: OpenSSL, zlib
  • Критически важные, повсеместно используемые компоненты ядра Linux (включая KVM)

Как и обещала, теперь компания Google расширила список и включила в программу Patch Rewards Program следующие проекты.

  • Все open-source компоненты Android, такие как Android Open Source Project
  • Популярные веб-серверы: Apache httpd, lighttpd, nginx
  • Популярные SMTP-сервисы: Sendmail, Postfix, Exim
  • Виртуальные частные сети как OpenVPN
  • Инструменты безопасности для GCC, binutils, и llvm
  • Сервисы сетевого времени, такие как NTP
  • Другие важные библиотеки, такие как Mozilla NSS и libxml2

Сумма вознаграждения за патчи для этих проектов составляет от $500 до $3133,70.

Похожую программу по оплате уязвимостей, найденных в важных Open Source проектах, недавно запустила и компания Microsoft (совместно с Facebook).



Оставить мнение