четверг, 10 октября 2013 г.

Google заплатит за улучшения в безопасности ядра Linux и других OSS-проектов



Компания Google опубликовала список проектов Open Source, которые она защищает своей программой выплаты вознаграждения за баги. Причем в данном случае вознаграждаются не только баги, но и любые улучшения в безопасности системы: переход на более защищенный аллокатор памяти, разделение привилегий, внедрение поддержки ASLR. Что угодно.
За улучшения в нижеперечисленных программах можно получить вознаграждение от Google точно так же, как за обнаружение уязвимостей в сервисе Gmail или браузере Chrome.
  • Ключевые инфраструктурные сетевые сервисы: OpenSSH, BIND, ISC DHCP
  • Ключевые инфраструктурные парсеры изображений: libjpeg, libjpeg-turbo, libpng, giflib
  • Открытые проекты в основании Google Chrome: Chromium, Blink
  • Другие важные библиотеки: OpenSSL, zlib
  • Критически важные, повсеместно используемые компоненты ядра Linux (включая KVM)
В будущем программу планируется расширить на следующие проекты.
  • Популярные веб-серверы: Apache httpd, lighttpd, nginx
  • Популярные SMTP-сервисы: Sendmail, Postfix, Exim
  • Инструменты безопасности для GCC, binutils, и llvm
  • Виртуальные частные сети: OpenVPN
Для того, чтобы претендовать на награду, надо закоммитить свой патч в репозиторий и уведомить об этом компанию Google по адресу security-patches@google.com с указанием всех подробностей.
Размер вознаграждений составляет от $500 до $3133,7.