Максимальная выплата по программе Bug Bounty от Mozilla выросла до 10 000 долларов и более. Mozilla также расширила спектр уязвимостей, которые она покрывает.
Сообщение в блоге по безопасности Mozilla указывает на то, что это увеличение отражает тот факт, что Mozilla ценит своих исследователей безопасности.
Рэй Форбс пишет:
Программа Bug Bounty — важная часть безопасности Mozilla. На сегодняшний день по этой программе было выплачено около 1,6 миллиона долларов, и мы очень довольны ее успехом.
Те из нас, кто входит в комитет по вознаграждениям за ошибки, провели оценку программы вознаграждения за ошибки Firefox в ее нынешнем виде и решили, что пришло время для изменений.
И это изменение означает не только больше денег за критические уязвимости, но и выплаты за умеренные.
Forbes продолжает:
Мы резко увеличили сумму денег, которую стоит уязвимость. Кроме того, мы посмотрели, как мы решили, сколько мы должны выплатить. Вместо одной суммы, которая может быть присуждена, мы переходим к переменной выплате, основанной на качестве отчета об ошибке, серьезности ошибки и степени очевидности использования уязвимости.
Он также говорит, что сумма уплачена за уязвимости с умеренным рейтингом. будет определен комитетом, но общий диапазон составляет от 500 до 2000 долларов. Это не означает, что за все уязвимости умеренного уровня будет назначена награда, но за некоторые из них.
В этой таблице показано, что требуется для каждого уровня оплаты:
Применяются следующие общие условия:
Ошибка безопасности должна быть оригинальной и ранее не сообщалась.
Ошибка безопасности должна быть удаленным эксплойтом, причиной повышения привилегий или утечки информации.
Отправитель не должен быть автором ошибочного кода или иным образом участвовать в своем вкладе в проект Mozilla (например, путем предоставления проверок регистрации).
Сотрудники Mozilla Foundation и ее дочерних компаний не имеют права.
Если два или более человека сообщат об ошибке, награда будет разделена между ними.