Сначала программа будет распространяться только на OpenSSL и OpenSSH, BIND DNS, а также критически-важные компоненты безопасности в ядре Linux.
Google решила расширить рамки программы Security Bounty Program, добавив возможность получать вознаграждение за исправление уязвимостей в открытом коде программного обеспечения. При этом программе не обязательно быть продуктом Google.
Компания начала награждать разработчиков за предоставление исправлений брешей в продукции еще в 2010 году, представив Bounty Program для web-браузера Chrome. Сейчас в Google говорят, что готовы платить даже не за собственные программы.
Пытаясь объяснить рамки и требования к исправлениям, эксперт по информационной безопасности компании Михаль Залевски (Michal Zalewski) написал в блоге: «Мы решили попробовать что-то новое – предоставлять финансирование за практичные и превентивные улучшения, которое выходят за рамки обычного исправления известных брешей, существующих в системе».
Сначала программа будет распространяться только на определенные проекты с открытым кодом, к примеру, библиотеки OpenSSL и OpenSSH, BIND DNS, а также критически-важные компоненты безопасности в ядре Linux. Затем Google расширит рамки проектов, включив в них web-сервер Apache, серверы электронной почты Sendmail, Postfix и Exim, а также инструменты разработки ПО GNU.
По словам Залевски, компания выбрала избирательный подход, поскольку считает, что он будет более продуктивным, нежели вознаграждение за обнаруженные бреши в старом исходным коде с открытым доступом.
Специалист рекомендует ознакомиться с документами, которые предоставляют дополнительную информацию о вознаграждении, требованиях и других важных вещах.