近日,谷歌宣布计划从明年(2020年)开始对已有6年历史的补丁奖励计划(Patch Rewards)进行修订。预计从2020年1月1日开始,谷歌将改变该计划的工作方式,可以在开源项目实现相应的安全功能之前,就预先提供财务援助。
现行版本的弊端
Patch Rewards始于2013年10月,是谷歌最古老的安全意识项目之一。现行版本的Patch Rewards同样会向开源项目的维护者提供财务援助,但是实际支付必须等到相应项目功能实现之后。
另外,维护者必须提出申请,提供相应的计划。但是实际上,很多开源项目维护者是根据收到的赞助来优先考虑开发计划的,这种赞助方式在FOSS(免费开源软件)社区中应用得很广泛。比如一家公司需要开源中的特定功能,那么可以通过向项目捐赠的方式,要求维护者优先实现他们需要的功能。
新计划奖励规则
谷歌宣布,开源项目维护者可以通过Patch Rewards计划要求预付资金,来支持两种类型的安全升级:
解决少数安全问题的小型项目可以获得5000美元的赞助,比如改进特权分离或沙箱、清除整数artimetrics,或者修复由漏洞赏金计划(例如EU-FOSSA 2)在开源软件中发现的漏洞。
在安全性上进行的大型项目可以获得30000美元的赞助,比如寻找更多的开发人员,或者实施重要的新安全性功能,比如优化编译器。
新计划依然需要开发者提交申请表格,谷歌内部的一个小组将每月审查所有提交的项目,并选择资助的对象。谷歌安全技术计划经理Jan Keller说:“在选择项目时,小组将重点关注对因特网安全至关重要的项目,或者是具有大量用户群的最终用户项目。”
为了让读者了解Google通常选择哪种类型的应用程序和库,在Patch Rewards计划主页,我们可以看到谷歌倾向支持的开源项目类型。
所以,这归根到底还是一项开源的定向资金激励计划,只不过谷歌更专注于安全特性方面,不是吗?
