Компания Google анонсировала расширение числа проектов, на которые распространяется программа выплаты вознаграждений за выполнение работ по повышению безопасности популярного сетевого и системного свободного ПО. Напомним, что уже более месяца Google выплачивает вознаграждение не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.

В дополнение к ранее поддерживаемым программой проектам OpenSSH, BIND, ISC DHCP, libjpeg, libjpeg-turbo, libpng, giflib, OpenSSL, zlib, Chromium, Blink и компонентам ядра Linux, обновлённый список включает:

  • Открытые компоненты платформы Android: AOSP (Android Open Source Project);
  • HTTP-серверы Apache httpd, lighttpd и nginx;
  • Почтовые серверы Sendmail, Postfix, Exim, Dovecot;
  • Программа для туннелирования трафика OpenVPN;
  • Сервер синхронизации точного времени NTPD;
  • Библиотеки Mozilla NSS и libxml2;
  • Инструментарий разработчика: GCC, LLVM и binutils.

Размер вознаграждения составляет от $500 до $3133.70 в зависимости от сложности, качества и важности предложенных изменений. Не исключается повышение размера вознаграждения для особо важных и сложных случаев, а также выделение отдельного вознаграждения основным разработчикам проекта, если для внедрения изменений с их стороны будет проведена значительная работа. В качестве примеров работ, подпадающих под действие инициативы, упоминается внедрение более безопасных механизмов распределения памяти, реализация разделения привилегий, чистка кода от небезопасных функций, использование рандомизации выделяемых областей памяти и т.п. Решение о выплате премии принимается на основе уже принятых в upstream изменений, т.е. патчи следует первым делом направлять в основные проекты и после их принятия направлять заявку на получение премии с указанием ссылок на проведённую работу.

Одновременно можно отметить инициативу Facebook по выплате вознаграждения за исправление ошибок в реализации компилятора языка D. Для начала, Facebook готов выплатить по 80 долларов за исправление одной из трёх ошибок (1, 2, 3). В дальнейшем планируется расширить действие программы и пересмотреть размер оплаты, выбирая сумму в зависимости от сложности и важности устранённых ошибок.

Источник: http://www.opennet.ru/opennews/art.shtml?num=38467