Месяц назад компания Google опубликовала список проектов Open Source которые она защищает своей программой выплаты вознаграждений за баги. Причем в данном случае вознаграждаются не только баги, но и любые улучшения в безопасности системы: переход на более защищенный аллокатор памяти, разделение привилегий, внедрение поддержки ASLR и т.д.
Проекты, которые вошли в первоначальный список, перечислены ниже.
- Ключевые инфраструктурные сетевые сервисы: OpenSSH, BIND, ISC DHCP
- Ключевые инфраструктурные парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
- Открытые проекты в основании Google Chrome: Chromium, Blink
- Другие важные библиотеки: OpenSSL, zlib
- Критически важные, повсеместно используемые компоненты ядра Linux (включая KVM)
Как и обещала, теперь компания Google расширила список и включила в программу Patch Rewards Program следующие проекты.
- Все open-source компоненты Android, такие как Android Open Source Project
- Популярные веб-серверы: Apache httpd, lighttpd, nginx
- Популярные SMTP-сервисы: Sendmail, Postfix, Exim
- Виртуальные частные сети как OpenVPN
- Инструменты безопасности для GCC, binutils, и llvm
- Сервисы сетевого времени, такие как NTP
- Другие важные библиотеки, такие как Mozilla NSS и libxml2
Сумма вознаграждения за патчи для этих проектов составляет от $500 до $3133,70.
Похожую программу по оплате уязвимостей, найденных в важных Open Source проектах, недавно запустила и компания Microsoft (совместно с Facebook).
