Компания Google анонсировала расширение числа проектов, на которые распространяется программа выплаты вознаграждений за выполнение работ по повышению безопасности популярного сетевого и системного свободного ПО. Напомним, что уже более месяца Google выплачивает вознаграждение не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.
В дополнение к ранее поддерживаемым программой проектам OpenSSH, BIND, ISC DHCP, libjpeg, libjpeg-turbo, libpng, giflib, OpenSSL, zlib, Chromium, Blink и компонентам ядра Linux, обновлённый список включает:
- Открытые компоненты платформы Android: AOSP (Android Open Source Project);
- HTTP-серверы Apache httpd, lighttpd и nginx;
- Почтовые серверы Sendmail, Postfix, Exim, Dovecot;
- Программа для туннелирования трафика OpenVPN;
- Сервер синхронизации точного времени NTPD;
- Библиотеки Mozilla NSS и libxml2;
- Инструментарий разработчика: GCC, LLVM и binutils.
Размер вознаграждения составляет от $500 до $3,133.70 в зависимости от сложности, качества и важности предложенных изменений. Не исключается повышение размера вознаграждения для особо важных и сложных случаев, а также выделение отдельного вознаграждения основным разработчикам проекта, если для внедрения изменений с их стороны будет проведена значительная работа. В качестве примеров работ, подпадающих под действие инициативы, упоминается внедрение более безопасных механизмов распределения памяти, реализация разделения привилегий, чистка кода от небезопасных функций, использование рандомизации выделяемых областей памяти и т.п. Решение о выплате премии принимается на основе уже принятых в upstream изменений, т.е. патчи следует первым делом направлять в основные проекты и после их принятия направлять заявку на получение премии с указанием ссылок на проведённую работу.
Одновременно можно отметить инициативу Facebook по выплате вознаграждения за исправление ошибок в реализации компилятора языка D. Для начала, Facebook готов выплатить по 80 долларов за исправление одной из трёх ошибок (1, 2, 3). В дальнейшем планируется расширить действие программы и пересмотреть размер оплаты, выбирая сумму в зависимости от сложности и важности устранённых ошибок.