為了慶祝 Firefox 1.0 發(fā)行 15 周年,Mozilla 對其 Web bug 賞金計劃進(jìn)行了重大變更。
當(dāng)前談到 Web 瀏覽器,特別是在開發(fā)者人群中,F(xiàn)irefox 是不得不提的存在。Firefox 不斷關(guān)注安全性,上個月發(fā)布的 Firefox 70 又再一次增強跟蹤保護(hù)功能。現(xiàn)在在安全問題上,Mozilla 決定大幅提高其漏洞賞金金額。
Mozilla 在博客中具體介紹了此次賞金計劃的變化:
賞金增加
根據(jù)“ Web and Services Bug Bounty Program ”(Web 和服務(wù) bug 賞金計劃)頁面,將針對關(guān)鍵站點、核心站點和其它 Mozilla 網(wǎng)站的所有 Web 支出增加一倍。此外,為關(guān)鍵站點上的遠(yuǎn)程代碼執(zhí)行 bug 支出增加兩倍,達(dá)到 15 000 美元。
添加新的關(guān)鍵站點
在過去 6 個月中將 Web Bug 賞金計劃擴(kuò)展到了以下站點:
Autograph – 用于對 Mozilla 產(chǎn)品進(jìn)行簽名的加密簽名服務(wù)。
Lando – Mozilla 的新自動代碼落地(code-landing)服務(wù),能夠輕松地將 Phabricator 修訂版提交到其目標(biāo)存儲庫。
Phabricator – 用于查看 Firefox 代碼更改的代碼管理工具。
Taskcluster – 支持 Mozilla 的持續(xù)集成與發(fā)布過程(從核心升級為關(guān)鍵)的任務(wù)執(zhí)行框架。
關(guān)鍵站點具體信息查看:
https://www.mozilla.org/en-US/security/bug-bounty/web-eligible-sites/#critical-sites
添加新的核心站點
擴(kuò)展了以下任務(wù)核心站點:
Firefox Monitor – 可以在其中注冊電子郵件地址的網(wǎng)站,以便在帳戶詳細(xì)信息發(fā)生數(shù)據(jù)泄露的情況下通知用戶。
Localization – 服務(wù)提供者可以用來幫助本地化 Mozilla 產(chǎn)品。
Payment Subscription – 付款前的界面服務(wù)。
Firefox Private Network – 可以從中下載桌面擴(kuò)展程序的站點,該擴(kuò)展可以在使用 Firefox 的任何地方確保安全并保護(hù)連接。
Ship It – 該系統(tǒng)接受來自人的發(fā)布請求,將其轉(zhuǎn)換為基于 Buildbot 的發(fā)布自動化可以處理的信息并發(fā)出請求。
Speak To Me – Mozilla 的語音識別 API。
核心站點具體信息查看:
https://www.mozilla.org/en-US/security/bug-bounty/web-eligible-sites/#core-sites
Mozilla 介紹當(dāng)前這些變化已經(jīng)開始應(yīng)用于最近報告的 Web bug 中,詳情查看發(fā)布公告:
https://blog.mozilla.org/security/2019/11/19/updates-to-the-mozilla-web-security-bounty-program
