Михаил Залевский (Michal Zalewski) из Google Security Team подвёл итоги года действия программы выплаты денежных вознаграждений за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению проблем с безопасностью в популярном сетевом и системном свободном ПО.
Из участвовавших в программе успешных разработок отмечается:
- Внедрение проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения;
- Интеграция в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf;
- Добавление в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов;
- Разработка патчей, ограничивающих доступ к /proc/pid для предотвращения утечек информации о работе механизма ASLR (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных обращением к некорректным областям памяти;
- Разработка патча, привязывающего обработку функций в переменных окружения Bash к именам, снабжённым префиксом «BASH_FUNC_» для обхода новых Shellshock-уязвимостей в Bash;
Кроме того, можно отметить увеличение с 5 до 15 тысяч долларов максимальной суммы за выявление связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, за сверхинтересные и важные методы атаки сумма может доходить до 30 тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже выплачено более 1.25 млн долларов.