Компания Google объявила о расширении действия программы по выплате вознаграждений за предоставление информации о наличии уязвимостей в браузере Chrome, компонентах Chrome OS и web-сервисах Google. Отныне вознаграждение смогут получить также исследователи безопасности, работающие в области повышения безопасности популярного сетевого и системного свободного ПО, а также в распространённых открытых библиотек.Вознаграждения отныне будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей. Подобный шаг обусловлен тем, что зачастую исправление проблем с безопасностью, требует больших усилий чем выявление уязвимости. Размер вознаграждения составит от $500 до $3,133.70 в зависимости от важности предложенных изменений. Например, может быть внедрён более безопасный механизм распределения памяти реализовано разделение привилегий, выполнена чистка кода от небезопасных функций, задействована рандомизация выделяемых областей памяти и т.п. При этом все изменения могут направляться сразу в upstream-проекты и после принятия изменений, в Google может быть направлен запрос на получение премии с указанием ссылок на проведённую работу.
В программу выплаты вознаграждения включены:
- Приложения, обеспечивающие работу ключевых сетевых сервисов: OpenSSH, BIND, ISC DHCP;
- Библиотеки для работы с изображениями: libjpeg, libjpeg-turbo, libpng, giflib;
- Другие важные библиотеки: OpenSSL, zlib;
- Открытые проекты, связанные с Google Chrome: Chromium, Blink;
- Требующие высокой безопасности и часто-используемые компонеты ядра Linux, в том числе гипервизор KVM.
В анонсе также сообщается, что ближайшее время число вовлечённых в программу проектов будет расширено такими открытыми продуктами, как http-сервер Apache, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm и OpenVPN.
URL: http://googleonlinesecurity.blogspot.ru/2013/10/going-beyond...
Новость: https://www.opennet.ru/opennews/art.shtml?num=38123