Anuncio de actualizaciones de nuestro programa Patch Rewards en 2020


En Google, nos esforzamos por hacer que Net sea más seguro y eso incluye reconocer y recompensar las mejoras de seguridad que son vitales para la salud de toda la world-wide-web. En 2020, estamos construyendo sobre este compromiso lanzando una nueva iteración de nuestro Programa de recompensas de parches para proyectos de código abierto de terceros.

En los últimos seis años, hemos recompensado proyectos de código abierto por mejoras de seguridad después de que se hayan implementado. Si bien esto ha llevado a una mayor seguridad common, queremos llevar esto un paso más allá.

Introducir ayuda financiera por adelantado
A partir del 1 de enero de 2020, no solo vamos a recompensar las mejoras proactivas de seguridad después de completar el trabajo, pero también complementaremos el programa con un apoyo financiero inicial para proporcionar un recurso adicional para que los desarrolladores de código abierto prioricen el trabajo de seguridad. Por ejemplo, si es un pequeño proyecto de código abierto y desea mejorar la seguridad, pero no tiene los recursos necesarios, esta nueva recompensa puede ayudarlo a adquirir capacidad de desarrollo adicional.

Comenzaremos con dos niveles de soporte:

  • Pequeño ($ 5,000): Pretendía motivar y recompensar un proyecto para solucionar un pequeño número de problemas de seguridad. Ejemplos: mejoras en la separación de privilegios o sandboxing, limpieza de artimetría de enteros o, en typical, reparación de vulnerabilidades identificadas en program de código abierto por programas de recompensas de errores como EU-FOSSA 2 (consulte «Envíos calificados» aquí para más ejemplos)
  • Grande ($ 30,000): Pretendía incentivar un proyecto más grande para invertir fuertemente en seguridad, p. Brindar asistencia para encontrar desarrolladores adicionales o implementar una nueva característica de seguridad significativa (por ejemplo, nuevas mitigaciones del compilador).

Proceso de nominación

Cualquier persona puede nominar un proyecto de código abierto para soporte completando http://goo.gle/patchz-nomination. Nuestro panel de recompensas de parches revisará las presentaciones mensualmente y seleccionará una serie de proyectos que cumplan con los criterios del programa. El panel informará a los presentadores si se ha elegido un proyecto y comenzará a trabajar directamente con los responsables del proyecto.


Proyectos en alcance

Cualquier proyecto de código abierto puede ser nominado para soporte. Al seleccionar proyectos, el panel pondrá énfasis en proyectos que son vitales para la salud de World-wide-web o que son proyectos de usuarios finales con una gran base de usuarios.


¿Qué esperamos a cambio?

Esperamos ver mejoras de seguridad para el software package de código abierto. Idealmente, el proyecto nos puede proporcionar
con una breve propaganda o consejos sobre algunos de los trabajos completados que fue posible gracias a nuestro apoyo. No queremos agregar burocracia, pero nos gustaría medir el éxito del programa.
¿Qué pasa con el programa Patch Rewards existente?
Esta es una adición al programa existente, el precise Programa de recompensas de parches continuará tal como está hoy.




Enlace a la noticia unique