聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
刚刚,谷歌宣布将在明年即2020年重振已设立6年之久的 Patch Rewards 计划。
Patch Rewards 计划是谷歌最悠久的安全类项目,它始于2013年10月,当时谷歌宣布将为实现了某些安全功能的开源类项目提供资助。但项目维护人员必须首先申请并提供关于所实现功能的计划,该功能实现后谷歌才会提供经济支持。
计划明年变
但谷歌表示,从2020年1月1日起,谷歌将修改该项目的运作方式,目前有意愿预先提供财务资助,甚至是在项目实现其承诺的安全功能之前就提供资助。
谷歌这样做的原因是,很多开源项目维护人员根据所得到的赞助来安排安全功能的优先级。而这种赞助是 FOSS (自有开源软件)社区中广为践行的。
例如,如果某公司需要开源软件中的某个特定功能,那么该公司通常会提供资助,不过条件是维护人员优先实现它所需的这个功能。
谷歌表达预先提供资助的意愿使得维护人员能够在工作得到资助的同时排列安全功能的优先级,而不是依靠某些富有的企业实体捐助来实施。
Patch Rewards 新规则
谷歌表示,开源项目维护人员可通过 Patch Rewards 计划请求为两种类型的安全功能和改进获得预先资助:
-
小型项目(5000美元):旨在激励并奖励修复少量安全问题的项目。例如,它针对的是权限区分或沙箱、清除整数伪数或者漏洞奖励计划如 EU-FOSSA 2 在开源软件中修复的更常见的漏洞问题。
-
大型项目(3万美元):旨在激励并奖励大型项目对安全的投入。例如,提供开发人员招聘资助或者实现某个重大的新型安全功能(如新的编译器缓解措施)。
谷歌表示,只要填写一份表,任何开源项目均可申请。表的链接如下:
http://goo.gle/patchz-nomination
谷歌表示,在每个月都会组织专家组进行评审,从中遴选出想要资助的项目。
谷歌安全技术计划经理 Jan Keller 表示,“遴选项目时,专家组主要看中项目是否有益于互联网的健康,或者是否是拥有大量用户基数的终端用户项目。”
为了让读者了解谷歌通常会选择的应用程序和库的类型,Patch Rewards 计划主页列出了所涵盖的开源项目类型:
-
Chrome 和 Android 的开源基础:Chromium、Blink、Omaha、AOSP(又名 Android)
-
对Linux 内核(包括 KVM)安全性能至关重要的常用组件
-
备受关注的 web 和邮件服务器:Apache httpd、lighttpd、nginx、Sendmail、Postfix、Exim、Dovecot
-
其它影响较大的网络服务:OpenSSH、OpenVPN、BIND、ISC DHCP、特拉华大学的NTPD
-
核心基础设施数据解析器:libjpeg、libjpeg-turbo、libpng、giflib、zlib、libxml2
-
其它基本库:OpenSSL、Mozilla NSS
-
Certificate Transparency及其开源依赖关系的参考实现
-
GCC、binutils和llvm的工具链安全性改进
-
常见软件包管理器的与安全性相关的位:yum、apt、pip、npm
-
流行的Web框架和库:Angular、Closure、Dart、Django、Dojo Foundation、Ember、GWT、Go、Jinja(Werkzeug、Flask)、jQuery、Knockout、Polymer、Struts、Web2py、Wicket
-
使用广泛的解压缩库:zlib、bzip2、tar、gzip、info-zip、cpio、xz、7z、p7zip、ncompress、lzo
-
用于云计算的关键软件:Envoy代理
-
集成到OSS-Fuzz中的项目
推荐阅读
谷歌宣布 Pixel Titan M 芯片漏洞奖励计划,最高150万美元
谷歌修复3个高危 Chrome 沙箱逃逸漏洞,为1人颁发5万美元奖励金
原文链接
https://www.zdnet.com/article/google-to-revamp-patch-rewards-program-in-2020/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,让我体验一下猪肉般的幸福~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
