Mozilla обновила свою политику вознаграждения за ошибки, чтобы сделать ее более привлекательной для исследователей безопасности. Он также запустил новый веб-сайт для исследователей безопасности и участников программы вознаграждения за обнаружение ошибок Firefox.
В своем вступительном сообщении в новом блоге Attack & Defense Том Риттер пользуется возможностью, чтобы рассказать о последних результатах программы вознаграждений за ошибки Firefox, которая, как он отмечает, началась в 2004 году.
В период с 2017 по 2019 год Mozilla выплатила исследователям 965 750 долларов за 348 ошибок, в результате чего средняя выплата составила 2775 долларов, но, как показывает график, наиболее частая выплата составила 4000 долларов:
Он также упоминает, что Mozilla добавила новую награду за статический анализ в свою программу Client Bug Bounty к концу 2019 года в попытке побудить сообщество использовать инструменты CodeQL для работы по статическому анализу, который идентифицирует существующие или исторические недостатки в Firefox.
Что касается последних обновлений политики выявления ошибок и выплат, они призваны отражать более жесткую позицию безопасности, принятую Mozilla после перехода на многопроцессорную изолированную архитектуру. Риттер пишет:
Во-первых, мы изменяем нашу текущую политику, чтобы сделать ее более удобной и разрешить дублирование заявок. В настоящее время у нас действует политика «побеждает первый репортер», которая может быть очень неприятной, если вы проводите фаззинг наших ночных сборок (что мы рекомендуем вам делать!), А обнаруживаете и сообщаете об ошибке всего через несколько часов после другого репортера. С этого момента мы разделим награду между всеми дубликатами, отправленными в течение 72 часов с момента первого отчета; с пропорциональными суммами для более качественных отчетов. Мы надеемся, что это вдохновит больше людей на фаззинг наших сборок Nightly ASAN.
Увеличение выплат должно также стимулировать к участию исследователей в области безопасности. За выходы из песочницы и связанные с ними ошибки теперь можно будет получить базовый доход в размере 8000 долларов США, а высококачественный отчет — до 10 000 долларов США. Кроме того, ошибки обхода прокси-сервера имеют право на базовый уровень в 3000 долларов США, а высококачественный отчет — до 5000 долларов США.
Указывая на то, что большинство выплат, производимых Mozilla, превышают базовый уровень, Риттер объясняет:
сумма вознаграждения не определяется на основании вашей первоначальной заявки. а скорее по результатам обсуждения с разработчиками. Таким образом, улучшение тестовых примеров после отправки, выяснение того, обоснованы ли предположения инженера или нет, или другая помощь, которая помогает решить проблему, увеличит вашу выплату вознаграждения.
На новом веб-сайте также будут размещены руководства по тестированию различных частей Firefox, и две такие статьи Фредерика Брауна, «Помогите протестировать встроенный HTML-дезинфектор Firefox для защиты от ошибок UXSS» и «Удаленное выполнение кода в Firefox за пределами повреждения памяти» уже были размещены на нем.