Mozilla расширяет программу выплаты вознаграждений за выявление уязвимостей
Компания Mozilla объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в элементах инфраструктуры, связанных с разработкой Firefox. Размер премий за выявление уязвимостей на сайтах и в сервисах Mozilla увеличен в два раза, а премия за выявление уязвимостей, которые могут привести к выполнению кода на ключевых сайтах, доведена до 15 тысяч долларов.
За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.
Для базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.
По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:
Autograph (сервис цифровых подписей),
Lando (сервис автоматического размещения кода из Phabricator в репозиториях),
Phabricator (инструментарий управления кодом, применяемый для рецензирования изменений)б
Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).
Из новых базовых сайтов отмечены:
Firefox Monitor (monitor.firefox.com),
Платформа локализации (l10n.mozilla.org),
Сервис Payment Subscription (обвязка над платёжной системой Stripe),
Firefox Private Network (прокси для защиты трафика),
Ship It (система трансляции запросов на формирование релизов)
Speak To Me (система распознавания речи, лежащая в основе Speech Recognition API).
Источник: http://www.opennet.ru/opennews/art.shtml? num=51903
За определение метода обхода аутентификации и подстановку SQL-кода можно получить вознаграждение в 6 тысяч долларов, а за межсайтовый скриптинг и CSRF — 5 тысяч долларов. К ключевым сайтам отнесены firefox.com/org, mozilla.com/org, addons.mozilla.org, getfirefox.com, bugzilla.mozilla.org, search.services.mozilla.com, archive.mozilla.org, download.mozilla.org и ещё несколько десятков сайтов, связанных с дополнениями, обновлениями, загрузкой, синхронизацией и статистикой.
Для базовых сайтов размер премии примерно в два раза меньше. К базовым сайтам отнесены observatory.mozilla.org, getpocket.com, premium.firefox.com, hg.mozilla.org и некоторые внутренние сервисы для разработчиков.
По сравнению с ранее действующими условиями, в число ключевых сайтов и сервисов добавлены:
Autograph (сервис цифровых подписей),
Lando (сервис автоматического размещения кода из Phabricator в репозиториях),
Phabricator (инструментарий управления кодом, применяемый для рецензирования изменений)б
Taskcluster (фреймворк для выполнения задач, поддерживающий систему непрерывной интеграции и процессы формирования релизов).
Из новых базовых сайтов отмечены:
Firefox Monitor (monitor.firefox.com),
Платформа локализации (l10n.mozilla.org),
Сервис Payment Subscription (обвязка над платёжной системой Stripe),
Firefox Private Network (прокси для защиты трафика),
Ship It (система трансляции запросов на формирование релизов)
Speak To Me (система распознавания речи, лежащая в основе Speech Recognition API).
Источник: http://www.opennet.ru/opennews/art.shtml? num=51903
Ещё новости по теме:
18:20