Компания Google расширила действие инициативы по повышению безопасности свободного ПО

19.11.2013 12:26

Компания Google анонсировала расширение числа проектов, на которые распространяется программа выплаты вознаграждений за выполнение работ по повышению безопасности популярного сетевого и системного свободного ПО. Напомним, что уже более месяца Google выплачивает вознаграждение не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.

В дополнение к ранее поддерживаемым программой проектам OpenSSH, BIND, ISC DHCP, libjpeg, libjpeg-turbo, libpng, giflib, OpenSSL, zlib, Chromium, Blink и компонентам ядра Linux, обновлённый список включает:

Открытые компоненты платформы Android: AOSP (Android Open Source Project);
HTTP-серверы Apache httpd, lighttpd и nginx;
Почтовые серверы Sendmail, Postfix, Exim, Dovecot;
Программа для туннелирования трафика OpenVPN;
Сервер синхронизации точного времени NTPD;
Библиотеки Mozilla NSS и libxml2;
Инструментарий разработчика: GCC, LLVM и binutils.

Размер вознаграждения составляет от $500 до $3133.70 в зависимости от сложности, качества и важности предложенных изменений. Не исключается повышение размера вознаграждения для особо важных и сложных случаев, а также выделение отдельного вознаграждения основным разработчикам проекта, если для внедрения изменений с их стороны будет проведена значительная работа. В качестве примеров работ, подпадающих под действие инициативы, упоминается внедрение более безопасных механизмов распределения памяти, реализация разделения привилегий, чистка кода от небезопасных функций, использование рандомизации выделяемых областей памяти и т.п. Решение о выплате премии принимается на основе уже принятых в upstream изменений, т.е. патчи следует первым делом направлять в основные проекты и после их принятия направлять заявку на получение премии с указанием ссылок на проведённую работу.

Одновременно можно отметить инициативу Facebook по выплате вознаграждения за исправление ошибок в реализации компилятора языка D. Для начала, Facebook готов выплатить по 80 долларов за исправление одной из трёх ошибок (1, 2, 3). В дальнейшем планируется расширить действие программы и пересмотреть размер оплаты, выбирая сумму в зависимости от сложности и важности устранённых ошибок.

исправить +28 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38467-reward

Ключевые слова: reward, google

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (13)

1.3, Аноним (-), 12:57, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
свободный софт свободен в том числе и в выборе методологий разработки

1.4, Аноним (-), 13:09, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Гугл скупает уязвимости и бэкдоры :)

2.6, Аноним (-), 13:52, 19/11/2013 [^] [^^] [^^^] [ответить]	+6 +/–
нет, скорее всего у них данные продукты развернуты в глобальном масштабе, вот и переживают за безопасность

3.16, myhand (ok), 20:57, 19/11/2013 [^] [^^] [^^^] [ответить]	+/–
> нет, скорее всего у них данные продукты развернуты в глобальном масштабе Слабо верится в то, что у гугла сендмыл развернут в глобальном масштабе (тм)...

4.18, all_glory_to_the_hypnotoad (ok), 21:31, 19/11/2013 [^] [^^] [^^^] [ответить]	+1 +/–
гугл большой, может быть где-нибудь висит. С другой стороны, все эти MTA развёрнуты в глобальном масштабе по всему инету, достаточно поиметь хорошенько любой из них чтобы всем сделать плохо.

5.20, myhand (ok), 01:50, 20/11/2013 [^] [^^] [^^^] [ответить]

+/–

> гугл большой, может быть где-нибудь висит.

Сомневаюсь, что кто-то в здравом уме держит в продакшене аж три MTA.

> С другой стороны, все эти MTA
> развёрнуты в глобальном масштабе по всему инету, достаточно поиметь хорошенько любой
> из них чтобы всем сделать плохо.

А вот этот аргумент уже ближе к истине.

1.8, Аноним (-), 14:36, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Инициатива фб в 80$ что есть что нет

2.13, myhand (ok), 16:39, 19/11/2013 [^] [^^] [^^^] [ответить]	+/–
Мда. Уж лучше бы они просто предложили поработать за миску риса...

3.15, Аноним (-), 18:54, 19/11/2013 [^] [^^] [^^^] [ответить]	+/–
Цукерберг сцукко троллит дишников не подеццки :)) Типо пучок за пяток :)

1.9, Аноним (-), 14:44, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>патчи следует первым делом направлять в основные проекты и после их принятия направлять заявку на получение премии Молодцы

1.17, all_glory_to_the_hypnotoad (ok), 21:29, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Facebook готов выплатить по 80 долларов за исправление одной из трёх ошибок очень щедро.

2.19, Аноним (-), 21:58, 19/11/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Мало ? 80 долларов за полчаса отладки и правки пары строк кода ?

3.22, Алексей (??), 15:45, 25/11/2013 [^] [^^] [^^^] [ответить]	+/–
Толсто. Ошибки в компиляторе искать это не лясы точить..

игнорирование участников | лог модерирования

Добавить комментарий

Текст: