Компания Google объявила о расширении действия программы по выплате вознаграждений за предоставление информации о наличии уязвимостей в браузере Chrome, компонентах Chrome OS и web-сервисах Google. Отныне вознаграждение смогут получить также исследователи безопасности, работающие в области повышения безопасности популярного сетевого и системного свободного ПО, а также в распространённых открытых библиотек.

Размер вознаграждения составит от $500 до $3,133.70 в зависимости от степени опасности уязвимости, оригинальности метода эксплуатации и важности предложенных изменений. При этом уязвимости могут проявляться не только вариантов и версий, поставляемых в составе продуктов Google, но и в базовых (upstream) версиях охватываемых программой проектов. Более того, вознаграждения отныне будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных проблем. Подобный шаг обусловлен тем, что зачастую исправление проблем с безопасностью, требует больших усилий чем выявление уязвимости.

В программу выплаты вознаграждения включены:

• Приложения, обеспечивающие работу ключевых сетевых сервисов: OpenSSH, BIND, ISC DHCP;
• Библиотеки для работы с изображениями: libjpeg, libjpeg-turbo, libpng, giflib;
• Другие важные библиотеки: OpenSSL, zlib;
• Открытые проекты, связанные с Google Chrome: Chromium, Blink;
• Требующие высокой безопасности и часто-используемые компонеты ядра Linux, в том числе гипервизор KVM.

В анонсе также сообщается, что ближайшее время число вовлечённых в программу проектов будет расширено такими открытыми продуктами, как http-сервер Apache, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm и OpenVPN.