导读谷歌有限责任公司今天表示,他们计划从明年开始,对已经实行了六年的开源软件开发者补丁奖励计划进行改革。补丁奖励是谷歌最古老的安全程序之一。它始于2013年,当时该公司表示,将
谷歌有限责任公司今天表示,他们计划从明年开始,对已经实行了六年的开源软件开发者补丁奖励计划进行改革。
补丁奖励是谷歌最古老的安全程序之一。它始于2013年,当时该公司表示,将为实现重要安全功能的开源项目的开发者提供财务援助。
为了获得报酬,项目维护者首先必须为他们打算实现的特性申请并提供一个计划。谷歌将承诺提供财务奖励,只有在实现该功能后才会支付。
但这种情况将从1月1日起改变,因为谷歌表示,它现在愿意在安全功能交付之前预先支付一些奖励。
谷歌的技术项目经理Jan Keller在今天的博客中解释了原因。许多开源项目维护者根据他们得到的赞助来优先考虑他们正在开发的安全特性。赞助通常来自使用开源软件的公司,需要实现特定的安全特性。为了确保它能尽快交付,他们向项目捐款,条件是他们的请求被给予比其他特性更高的优先级。
这种赞助在开源软件社区中得到了广泛的实践,Keller说。谷歌说,通过预先为维护人员提供资金,它将帮助他们资助他们的工作,并在不依赖捐赠的情况下优先考虑安全特性。
开源维护者可以向谷歌的补丁奖励计划申请资金,用于大大小小的安全特性和改进。
在前一种情况下,它为修复小的安全问题提供最高5000美元的奖励,比如“对特权分离或沙箱的改进,对integer artimetrics的清理,或者更广泛地修复漏洞奖励程序(如EU-FOSSA 2)在开源软件中发现的漏洞”。
对于后者,谷歌为那些在安全方面投入更多的开源维护者提供了高达3万美元的报酬,比如为寻找更多的开发人员提供支持,或者实现重要的新安全特性。
凯勒表示,任何开源软件项目都有资格获得补丁奖励,不过谷歌的遴选委员会将更重视那些对互联网健康和拥有大量用户基础的项目至关重要的项目。
开源软件维护者可以通过这个表格申请补丁奖励。