Sembra una di quelle promozioni che si trovano dal benzinaio e invece è tutto vero: Google ti premia, con un cash che oscilla dai 500$ ai 3.133,70$ se riesci a patchare uno dei grandi progetti dell'opensource.
“In short, we decided to try something new [...] Quite a few vulnerabilities trace back to preventable coding mistakes, or are made easier to exploit due to the absence of simple mitigation techniques. We are hoping to address this to some extent.”
La lista dei progetti coinvolti è molto ampia: OpenSSH, BIND, libjpeg, Chromium, Blink, zlib e lo stesso Kernel Linux, incluso KVM, ma prossimamente verranno inclusi anche Apache, nginx, SMTP come Sendmail e Postfix, VPN e molti altri.
In order to qualify, your patch must first be submitted directly to the maintainers of the project, and you must work with them to have it accepted into the repository and incorporated into a shipping version of the program.
Le patch in questione devono riguardare bug prettamente di sicurezza (quindi niente fix di singoli bug) e prima di poter ricevere il premio, dovranno essere valutate dal team mainstream ed accettate nel branch principale; Google stessa quindi non verrà coinvolta nel merging, né avvantaggerà un commit piuttosto che un altro: queste decisioni resteranno esclusive del progetto in questione, al Google Security Team andrà solo la valutazione (inviando i dettagli a security-patches@google.com) della qualità e della bontà della patch e della relativa importanza nel progetto, affinché poi possa quantificare l'ammontare del premio. P.S. Se siete Nordcoreani, Siriani o Sudanesi lasciate perdere, che tanto Google non vi paga. Ah, le tasse di transazione del premio non sono incluse.
Don't Be Evil. Almost.
Any source
No comments:
Post a Comment