Google renovará el programa Patch Benefits en 2020

Ciberseguridad


google-is-in-serious-trouble-warns-top-a-5db19f5e2b536d00015a1043-1-oct-29-2019-14-30-49-poster.jpg

Google anunció planes hoy para renovar el programa Patch Rewards de seis años a partir del próximo año, en 2020.

los Programa de recompensas de parches es uno de los proyectos de mentalidad de seguridad más antiguos de Google. Se inició en octubre de 2013, cuando Google anunció que proporcionaría ayuda financiera a proyectos de código abierto si implementaran funciones de seguridad.

Los encargados del mantenimiento del proyecto tenían que presentar una solicitud, proporcionar un approach para la función que querían implementar, y Google se comprometería con una recompensa financiera que se pagaría una vez que se implementara la función.

Cambios programados para el próximo año.

Pero, a partir del 1 de enero de 2020, Google dice que está cambiando la forma en que funciona este programa y ahora está dispuesto a proporcionar ayuda financiera por adelantado, incluso antes de que los proyectos implementen las características de seguridad con las que se comprometen.

La razón es que muchos encargados de proyectos de código abierto dan prioridad a las características en función de los patrocinios que reciben. Este tipo de patrocinio se practica ampliamente en la comunidad de software package libre de código abierto (FOSS).

Por ejemplo, si una empresa necesita una función certain en un código abierto, la empresa generalmente dona al proyecto con la condición de que los encargados de la implementación implementen la función que necesitan con mayor prioridad y antes que otras funciones.

Al estar dispuesto a proporcionar los fondos por adelantado, Google ofrece a los encargados de proyectos una forma de financiar su trabajo y priorizar las funciones de seguridad al mismo tiempo, en lugar de depender de donaciones de entidades corporativas ricas.

Nuevas reglas de Patch Benefits

Según Google, los encargados del mantenimiento de proyectos de código abierto pueden solicitar fondos por adelantado a través del programa Patch Rewards para dos tipos de características y mejoras relacionadas con la seguridad:

  • Pequeño ($ 5,000): Pretendía motivar y recompensar un proyecto para solucionar un pequeño número de problemas de seguridad. Ejemplos: mejoras en la separación de privilegios o sandboxing, limpieza de artimetría de enteros o, en general, reparación de vulnerabilidades identificadas en software de código abierto por programas de recompensas de errores como EU-FOSSA 2.
  • Grande ($ 30,000): Pretendía incentivar un proyecto más grande para invertir fuertemente en seguridad, p. Brindar asistencia para encontrar desarrolladores adicionales o implementar una nueva característica de seguridad significativa (por ejemplo, nuevas mitigaciones del compilador).

Google puede aplicar cualquier proyecto de código abierto. Todo lo que tienen que hacer es llenar esta forma.

Google dijo que un panel revisaría todas las presentaciones cada mes y seleccionaría los proyectos que querrán financiar.

«Al seleccionar proyectos, el panel hará hincapié en proyectos que son vitales para la salud de Net o son proyectos de usuarios finales con una gran base de usuarios», dijo Jan Keller, Gerente Técnico de Programas de Seguridad en Google.

Para darles a los lectores una notion de qué tipos de aplicaciones y bibliotecas suele seleccionar Google, la página de inicio del programa Patch Benefits enumera los siguientes proyectos de código abierto en su alcance:

  • Fundamentos de código abierto de Chrome y Android: Chromium, Blink, Omaha, AOSP (también conocido como Android)
  • Componentes del núcleo de Linux de uso crítico y de seguridad (incluido KVM)
  • Servidores internet y de correo de alto perfil: Apache httpd, lighttpd, nginx, Sendmail, Postfix, Exim, Dovecot
  • Otros servicios de purple de alto impacto: OpenSSH, OpenVPN, BIND, ISC DHCP, NTPD de la Universidad de Delaware
  • Analizadores de datos de infraestructura principal: libjpeg, libjpeg-turbo, libpng, giflib, zlib, libxml2
  • Otras bibliotecas esenciales: OpenSSL, Mozilla NSS
  • La implementación de referencia de Transparencia de certificados y sus dependencias de código abierto
  • Mejoras de seguridad de la cadena de herramientas para GCC, binutils y llvm
  • Bits de gestores de paquetes comunes relevantes para la seguridad: yum, apt, pip, npm
  • Marcos y bibliotecas website populares: Angular, Closure, Dart, Django, Dojo Basis, Ember, GWT, Go, Jinja (Werkzeug, Flask), jQuery, Knockout, Polymer, Struts, World wide web2py, Wicket
  • Bibliotecas de descompresión generalizadas: zlib, bzip2, tar, gzip, data-zip, cpio, xz, 7z, p7zip, ncompress, lzo
  • Software crítico utilizado para la computación en la nube: proxy de Envoy
  • Proyectos integrados en OSS-Fuzz



Enlace a la noticia first

Related Posts

¿Cómo pueden los CISO conectarse con la junta directiva?

23/03/2023

Campaña masiva de phishing evita MFA e imita a Microsoft Office

23/03/2023

La microfocalización política de los usuarios de Facebook genera ira

23/03/2023

Epidemia de almacenamiento inseguro, los dispositivos de copia de seguridad son una ganancia inesperada para los ciberdelincuentes

23/03/2023

MITRE lanza el prototipo de seguridad de la cadena de suministro

23/03/2023

Comprensión de la detección y respuesta gestionadas, y qué buscar en una solución MDR

23/03/2023