谷歌在周三表示，計(jì)劃拿出資金，獎(jiǎng)勵(lì)那些為廣泛使用的開(kāi)源軟件程序做前攝安全改進(jìn)的程序員。

該計(jì)劃旨在 “提升第三方軟件質(zhì)量，提升整個(gè)互聯(lián)網(wǎng)的安全，”谷歌安全團(tuán)隊(duì)Michal Zalewski寫(xiě)道。獎(jiǎng)金在500到3133.70美元之間。

“簡(jiǎn)而言之，我們計(jì)劃嘗試一些新事物，”谷歌透露。“有很多漏洞其實(shí)在編碼階段就可以得到修補(bǔ)，或者由于缺少緩和技巧而變得更容易被利用。我們希望從某種程度上解決這個(gè)問(wèn)題。”

項(xiàng)目規(guī)則表明，谷歌在尋找的漏洞，包括特權(quán)隔離，緩存分配器強(qiáng)化，整數(shù)運(yùn)算的清理以及競(jìng)態(tài)條件的漏洞。

雖然有些創(chuàng)立了開(kāi)源軟件業(yè)務(wù)的公司會(huì)聘請(qǐng)全職員工貢獻(xiàn)代碼，但是開(kāi)源軟件項(xiàng)目通常是開(kāi)發(fā)者們無(wú)償進(jìn)行維護(hù)。

谷歌的這一計(jì)劃提供了潛在的經(jīng)濟(jì)刺激，使原來(lái)無(wú)償?shù)墓ぷ饔辛烁辔?。谷歌已?jīng)啟用了自己的漏洞獎(jiǎng)勵(lì)項(xiàng)目，但是僅適用于為谷歌產(chǎn)品找漏洞的程序員。

谷歌挑選了使用最廣泛的一些開(kāi)源程序以及網(wǎng)絡(luò)，圖像解析和安全中使用代碼庫(kù)。很少有公司不使用谷歌挑選出來(lái)的這些開(kāi)源程序和工具。

這些程序包括OpenSSH，OpenSSL，BIND和圖像解析，如libjpeg和libpng。其他包括常見(jiàn)的Linux內(nèi)核組件，如基于Kernel的虛擬機(jī)以及谷歌Chrome的開(kāi)源基金，包括Chromium瀏覽器及其Blink渲染引擎。

最終，谷歌將把這個(gè)計(jì)劃拓展到Web服務(wù)器上，如Apache和nginx，SMTP服務(wù)，如Sendmail和Postfix和VPN軟件，如OpenVPN等，Zalewski寫(xiě)道。

發(fā)現(xiàn)的漏洞及所做的改進(jìn)需直接發(fā)到項(xiàng)目維護(hù)者處。代碼可能被采用并導(dǎo)入項(xiàng)目存儲(chǔ)庫(kù)，感興趣的可以發(fā)郵件到 security-patches@google.com 。

谷歌在周三表示，計(jì)劃拿出資金，獎(jiǎng)勵(lì)那些為廣泛使用的開(kāi)源軟件程序做前攝安全改進(jìn)的程序員。

該計(jì)劃旨在 “提升第三方軟件質(zhì)量，提升整個(gè)互聯(lián)網(wǎng)的安全，”谷歌安全團(tuán)隊(duì)Michal Zalewski寫(xiě)道。獎(jiǎng)金在500到3133.70美元之間。

“簡(jiǎn)而言之，我們計(jì)劃嘗試一些新事物，”谷歌透露。“有很多漏洞其實(shí)在編碼階段就可以得到修補(bǔ)，或者由于缺少緩和技巧而變得更容易被利用。我們希望從某種程度上解決這個(gè)問(wèn)題。”

項(xiàng)目規(guī)則表明，谷歌在尋找的漏洞，包括特權(quán)隔離，緩存分配器強(qiáng)化，整數(shù)運(yùn)算的清理以及競(jìng)態(tài)條件的漏洞。

雖然有些創(chuàng)立了開(kāi)源軟件業(yè)務(wù)的公司會(huì)聘請(qǐng)全職員工貢獻(xiàn)代碼，但是開(kāi)源軟件項(xiàng)目通常是開(kāi)發(fā)者們無(wú)償進(jìn)行維護(hù)。

谷歌的這一計(jì)劃提供了潛在的經(jīng)濟(jì)刺激，使原來(lái)無(wú)償?shù)墓ぷ饔辛烁辔Α９雀枰呀?jīng)啟用了自己的漏洞獎(jiǎng)勵(lì)項(xiàng)目，但是僅適用于為谷歌產(chǎn)品找漏洞的程序員。

谷歌挑選了使用最廣泛的一些開(kāi)源程序以及網(wǎng)絡(luò)，圖像解析和安全中使用代碼庫(kù)。很少有公司不使用谷歌挑選出來(lái)的這些開(kāi)源程序和工具。

這些程序包括OpenSSH，OpenSSL，BIND和圖像解析，如libjpeg和libpng。其他包括常見(jiàn)的Linux內(nèi)核組件，如基于Kernel的虛擬機(jī)以及谷歌Chrome的開(kāi)源基金，包括Chromium瀏覽器及其Blink渲染引擎。

最終，谷歌將把這個(gè)計(jì)劃拓展到Web服務(wù)器上，如Apache和nginx，SMTP服務(wù)，如Sendmail和Postfix和VPN軟件，如OpenVPN等，Zalewski寫(xiě)道。

發(fā)現(xiàn)的漏洞及所做的改進(jìn)需直接發(fā)到項(xiàng)目維護(hù)者處。代碼可能被采用并導(dǎo)入項(xiàng)目存儲(chǔ)庫(kù)，感興趣的可以發(fā)郵件到 security-patches@google.com 。