Компания Google анонсировала (http://googleonlinesecurity.blogspot.ru/2013/11/even-more-pa...) расширение числа проектов, на которые распространяется программа выплаты вознаграждений за выполнение работ по повышению безопасности популярного сетевого и системного свободного ПО. Напомним, что уже более месяца Google выплачивает (http://www.opennet.me/opennews/art.shtml?num=38123) вознаграждение не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.
В дополнение к ранее поддерживаемым программой проектам OpenSSH, BIND, ISC DHCP, libjpeg, libjpeg-turbo, libpng, giflib, OpenSSL, zlib, Chromium, Blink и компонентам ядра Linux, обновлённый список включает:
- Открытые компоненты платформы Android: AOSP (http://source.android.com/) (Android Open Source Project);
- HTTP-серверы Apache httpd, lighttpd и nginx;
- Почтовые серверы Sendmail, Postfix, Exim, Dovecot;
- Программа для туннелирования трафика OpenVPN;
- Сервер синхронизации точного времени NTPD (http://www.eecis.udel.edu/~mills/ntp/html/);
- Библиотеки Mozilla NSS и libxml2;
- Инструментарий разработчика: GCC, LLVM и binutils.
Размер вознаграждения составляет от $500 до $3,133.70 в зависимости от сложности, качества и важности предложенных изменений. Не исключается повышение размера вознаграждения для особо важных и сложных случаев, а также выделение отдельного вознаграждения основным разработчикам проекта, если для внедрения изменений с их стороны будет проведена значительная работа. В качестве примеров работ, подпадающих под действие инициативы, упоминается внедрение более безопасных механизмов распределения памяти, реализация разделения привилегий, чистка кода от небезопасных функций, использование рандомизации выделяемых областей памяти и т.п. Решение о выплате премии принимается на основе уже принятых в upstream изменений, т.е. патчи следует первым делом направлять в основные проекты и после их принятия направлять заявку на получение премии с указанием ссылок на проведённую работу.
Одновременно можно отметить инициативу (http://forum.dlang.org/thread/l65mvq$du0$1@digitalmars.com) Facebook по выплате вознаграждения за исправление ошибок в реализации компилятора языка D (http://dlang.org/). Для начала, Facebook готов выплатить по 80 долларов за исправление одной из трёх ошибок (1 (http://goo.gl/JvajFP),
2 (http://goo.gl/LLhRIw),
3 (http://goo.gl/2crX4V)). В дальнейшем планируется расширить действие программы и пересмотреть размер оплаты, выбирая сумму в зависимости от сложности и важности устранённых ошибок.
URL: http://googleonlinesecurity.blogspot.ru/2013/11/even-more-pa...
Новость: http://www.opennet.me/opennews/art.shtml?num=38467