谷歌今天宣布计划从明年(2020年)开始对已有6年历史的Patch Rewards计划进行修订。
该补丁奖励计划是谷歌最古老的安全意识项目之一。它始于2013年10月,当时Google宣布,如果开源项目实施了安全功能,它将向其提供财务援助。
项目维护者必须提出申请,为他们想要实现的功能提供计划,并且Google会承诺提供经济上的奖励,一旦实现该功能,便会予以支付。
计划明年更改
但是,从2020年1月1日开始,谷歌表示,它正在改变该计划的工作方式,并且现在甚至在项目实施其承诺的安全功能之前,都愿意预先提供财务援助。
原因是许多开源项目维护者根据收到的赞助来优先考虑功能。这种赞助方式在FOSS(免费开源软件)社区中得到了广泛的实践。
例如,如果公司需要开源中的特定功能,则该公司通常以维护者以更高的优先级实现其所需功能的条件向项目捐赠,并且先于其他功能。
Google愿意预先提供资金,因此可以为项目维护者提供一种为其工作提供资金并同时确定安全功能优先级的方法,而不是依靠富有的公司实体的捐款。
新补丁奖励规则
根据Google的说法,开源项目维护者可以通过Patch Rewards计划要求预付资金,以获取两种类型的与安全相关的功能和改进:
小型(5,000美元):旨在激励和奖励解决少数安全问题的项目。示例:改进特权分离或沙箱,清除整数artimetrics,或更普遍地修复由漏洞赏金计划(例如EU-FOSSA 2)在开源软件中发现的漏洞。
大型(30,000美元):旨在激励大型项目在安全性上进行大量投资,例如,提供支持以寻找更多的开发人员,或实施重要的新安全性功能(例如,减轻新的编译器)。
谷歌表示,任何开源项目都可以申请。他们要做的就是填写此表格。
谷歌表示,一个小组将每月审查所有提交的内容,并选择他们想要资助的项目。
Google安全技术计划经理Jan Keller说:“在选择项目时,小组将重点关注对Internet的健康至关重要的项目,或者是具有大量用户群的最终用户项目。”
为了让读者了解Google通常选择哪种类型的应用程序和库,Patch Rewards计划主页列出了以下范围内的开源项目:
Chrome和Android的开源基础:Chromium,Blink,奥马哈,AOSP(又名Android)
Linux内核(包括KVM)的安全性至关重要的常用组件
备受瞩目的Web和邮件服务器:Apache httpd,lighttpd,nginx,Sendmail,Postfix,Exim,Dovecot
其他影响较大的网络服务:OpenSSH,OpenVPN,BIND,ISC DHCP,特拉华大学NTPD
核心基础架构数据解析器:libjpeg,libjpeg-turbo,libpng,giflib,zlib,libxml2
其他基本库:OpenSSL,Mozilla NSS
证书透明度及其开源依赖项的参考实现
GCC,binutils和llvm的工具链安全性改进
常见软件包管理器的与安全性相关的位:yum,apt,pip,npm
流行的Web框架和库:Angular,Closure,Dart,Django,Dojo Foundation,Ember,GWT,Go,Jinja(Werkzeug,Flask),jQuery,Knockout,Polymer,Struts,Web2py,Wicket
广泛的解压缩库:zlib,bzip2,tar,gzip,info-zip,cpio,xz,7z,p7zip,ncompress,lzo
用于云计算的关键软件:Envoy代理
集成到OSS-Fuzz中的项目