谷歌今天宣布計劃從明年(2020年)開始對已有6年歷史的Patch Rewards計劃進行修訂。

該補丁獎勵計劃是谷歌最古老的安全意識項目之一。它始于2013年10月，當時Google宣布，如果開源項目實施了安全功能，它將向其提供財務(wù)援助。

項目維護者必須提出申請，為他們想要實現(xiàn)的功能提供計劃，并且Google會承諾提供經(jīng)濟上的獎勵，一旦實現(xiàn)該功能，便會予以支付。

計劃明年更改

但是，從2020年1月1日開始，谷歌表示，它正在改變該計劃的工作方式，并且現(xiàn)在甚至在項目實施其承諾的安全功能之前，都愿意預(yù)先提供財務(wù)援助。

原因是許多開源項目維護者根據(jù)收到的贊助來優(yōu)先考慮功能。這種贊助方式在FOSS(免費開源軟件)社區(qū)中得到了廣泛的實踐。

例如，如果公司需要開源中的特定功能，則該公司通常以維護者以更高的優(yōu)先級實現(xiàn)其所需功能的條件向項目捐贈，并且先于其他功能。

Google愿意預(yù)先提供資金，因此可以為項目維護者提供一種為其工作提供資金并同時確定安全功能優(yōu)先級的方法，而不是依靠富有的公司實體的捐款。

新補丁獎勵規(guī)則

根據(jù)Google的說法，開源項目維護者可以通過Patch Rewards計劃要求預(yù)付資金，以獲取兩種類型的與安全相關(guān)的功能和改進：

小型(5,000美元)：旨在激勵和獎勵解決少數(shù)安全問題的項目。示例：改進特權(quán)分離或沙箱，清除整數(shù)artimetrics，或更普遍地修復(fù)由漏洞賞金計劃(例如EU-FOSSA 2)在開源軟件中發(fā)現(xiàn)的漏洞。

大型(30,000美元)：旨在激勵大型項目在安全性上進行大量投資，例如，提供支持以尋找更多的開發(fā)人員，或?qū)嵤┲匾男掳踩怨δ?例如，減輕新的編譯器)。

谷歌表示，任何開源項目都可以申請。他們要做的就是填寫此表格。

谷歌表示，一個小組將每月審查所有提交的內(nèi)容，并選擇他們想要資助的項目。

Google安全技術(shù)計劃經(jīng)理Jan Keller說：“在選擇項目時，小組將重點關(guān)注對Internet的健康至關(guān)重要的項目，或者是具有大量用戶群的最終用戶項目。”

為了讓讀者了解Google通常選擇哪種類型的應(yīng)用程序和庫，Patch Rewards計劃主頁列出了以下范圍內(nèi)的開源項目：

Chrome和Android的開源基礎(chǔ)：Chromium，Blink，奧馬哈，AOSP(又名Android)

Linux內(nèi)核(包括KVM)的安全性至關(guān)重要的常用組件

備受矚目的Web和郵件服務(wù)器：Apache httpd，lighttpd，nginx，Sendmail，Postfix，Exim，Dovecot

其他影響較大的網(wǎng)絡(luò)服務(wù)：OpenSSH，OpenVPN，BIND，ISC DHCP，特拉華大學(xué)NTPD

核心基礎(chǔ)架構(gòu)數(shù)據(jù)解析器：libjpeg，libjpeg-turbo，libpng，giflib，zlib，libxml2

其他基本庫：OpenSSL，Mozilla NSS

證書透明度及其開源依賴項的參考實現(xiàn)

GCC，binutils和llvm的工具鏈安全性改進

常見軟件包管理器的與安全性相關(guān)的位：yum，apt，pip，npm

流行的Web框架和庫：Angular，Closure，Dart，Django，Dojo Foundation，Ember，GWT，Go，Jinja(Werkzeug，F(xiàn)lask)，jQuery，Knockout，Polymer，Struts，Web2py，Wicket

廣泛的解壓縮庫：zlib，bzip2，tar，gzip，info-zip，cpio，xz，7z，p7zip，ncompress，lzo

用于云計算的關(guān)鍵軟件：Envoy代理

集成到OSS-Fuzz中的項目