Google اعلام کرد امروز قصد دارد این شش را دوباره بسازد. برنامه Patch Rewards که از سال آینده آغاز می شود ، از سال 2020.
برنامه Patch Rewards یکی از قدیمی ترین پروژه های امنیتی با امنیت Google است. این کار در اکتبر 2013 آغاز شد ، هنگامی که گوگل اعلام کرد در صورت اجرای ویژگی های امنیتی ، به پروژه های منبع باز کمک می کند.
نگهبانان پروژه می بایست اعمال می شدند ، طرحی را برای ویژگی مورد نظرشان اجرا می کردند و Google متعهد می شد. به پاداش مالی که پس از اجرای این ویژگی پرداخت می شود.
تغییراتی که برای سال آینده
برنامه ریزی شده است] اما ، از اول ژانویه سال 2020 ، گوگل می گوید که چگونگی عملکرد این برنامه را تغییر می دهد و اکنون مایل به ارائه کمک های مالی پیش رو است. حتی قبل از اجرای پروژه ها ویژگی های امنیتی را به آنها تعهد می دهند.
دلیل این امر این است که بسیاری از نگهبانان پروژه منبع باز از ویژگی های مبتنی بر حمایت مالی دریافت می کنند. این نوع حمایت مالی به طور گسترده ای در انجمن FOSS (نرم افزار منبع باز آزاد) انجام می شود.
به عنوان مثال ، اگر یک شرکت به یک منبع خاص به منبع باز نیاز دارد ، شرکت معمولاً به این شرط کمک می کند که سازندگان نگهداری کنند. ویژگی مورد نیاز خود را با اولویت بالاتر و قبل از سایر ویژگی ها اجرا کنید.
Google با تمایل خود برای تأمین وجوه پیش رو ، Google به برنامه نویسان پروژه ها راهی برای تأمین بودجه کار خود و اولویت بندی ویژگی های امنیتی در همان زمان ، و نه تکیه در مورد کمکهای مالی از شرکتهای ثروتمند ثروتمند.
قوانین جدید پاداش پاداش
براساس گفته های Google ، نگهبانان پروژه منبع باز می توانند از طریق برنامه Patch Rewards برای دو نوع ویژگی و پیشرفت مرتبط با امنیت درخواست وجوه پیش فرض کنند:
- (5000 دلار): به معنای ایجاد انگیزه و پاداش یک پروژه برای رفع تعداد کمی از مسائل امنیتی است. مثالها: پیشرفت در جداسازی امتیاز یا جعبه ماسهبازی ، پاکسازی مصنوعات عدد صحیح ، یا به طور کلی رفع آسیب پذیری های شناسایی شده در نرم افزار منبع باز توسط برنامه های بادی bugy مانند EU-FOSSA 2.
- بزرگ (30،000 دلار): پروژه بزرگتر برای سرمایه گذاری زیاد در امنیت ، به عنوان مثال ارائه پشتیبانی برای یافتن توسعه دهندگان اضافی ، یا اجرای یک ویژگی امنیتی مهم جدید (به عنوان مثال کاهش دهنده کامپایلر جدید).
هر پروژه منبع باز می تواند اعمال شود ، گوگل گفت.
Google گفت یک پانل همه ارسال ها را در هر ماه بررسی می کند و پروژه هایی را که می خواهید برای تأمین بودجه انتخاب کنند انتخاب می کند.
"" هنگام انتخاب پروژه ها ، پانل تأکید می کند. یان کلر ، مدیر برنامه فنی فنی امنیت در گوگل ، گفت: "پروژه هایی که یا برای سلامتی اینترنت بسیار حیاتی هستند یا پروژه های کاربر نهایی هستند."
برای این که به خوانندگان بگویید که چه نوع برنامه ها و کتابخانه های Google معمولاً را انتخاب می کنند ، صفحه اصلی برنامه Patch Rewards پروژه های منبع باز زیر را در قالب فهرست ذکر می کند:
- بنیادهای منبع باز Chrome و Android: Chromium ، Blink ، Omaha ، AOSP (با نام Android)
- امنیتی مهم ، اجزای متداول هسته لینوکس (از جمله KVM)
- سرورهای وب و ایمیل با مشخصات بالا: Apache httpd ، lighttpd ، nginx ، Sendmail ، Postfix ، Exim ، Dovecot
- سایر خدمات شبکه با تأثیر بالا: OpenSSH ، OpenVPN ، BIND، ISC DHCP، دانشگاه Delaware NTPD
- تجزیه و تحلیل داده های زیربنایی هسته: libjpeg ، libjpeg-turbo، libpng، giflib، zlib، libxml2
- سایر کتابخانه های اساسی: OpenSSL ، موزیلا NSS
- اجرای مرجع گواهی شفافیت و وابستگی به منبع آزاد [19659019] بهبودهای امنیتی زنجیره ابزار برای GCC ، binutils و llvm
- بیت های مربوط به امنیت مدیران بسته های مشترک: yum، apt، pip، npm
- چارچوب ها و کتابخانه های وب محبوب: زاویه ای ، بسته شدن ، دارت ، جنگو ، بنیاد دوجو ، Ember، GWT، Go، Jinja (Werkzeug، Flask)، jQuery، Knockout، Polymer، Struts، Web2py، Wicket
- كتابخانه های رفع فشار گسترده: zlib، bzip2، tar، gzip، info-zip، cpio، xz، 7z، p7zip، ncompress، lzo
- نرم افزار بحرانی مورد استفاده برای محاسبات ابری: پروکسی فرستاده
- پروژه های ادغام شده در OSS-Fuzz
