為了慶祝 Firefox 1.0發(fā)行 15 周年，Mozilla 對(duì)其 Web bug 賞金計(jì)劃進(jìn)行了重大變更。

當(dāng)前談到 Web 瀏覽器，特別是在開(kāi)發(fā)者人群中，F(xiàn)irefox 是不得不提的存在。Firefox 不斷關(guān)注安全性，上個(gè)月發(fā)布的Firefox 70又再一次增強(qiáng)跟蹤保護(hù)功能。現(xiàn)在在安全問(wèn)題上，Mozilla 決定大幅提高其漏洞賞金金額。

Mozilla 在博客中具體介紹了此次賞金計(jì)劃的變化：

賞金增加

根據(jù)“Web and Services Bug Bounty Program”(Web 和服務(wù) bug 賞金計(jì)劃)頁(yè)面，將針對(duì)關(guān)鍵站點(diǎn)、核心站點(diǎn)和其它 Mozilla 網(wǎng)站的所有 Web 支出增加一倍。此外，為關(guān)鍵站點(diǎn)上的遠(yuǎn)程代碼執(zhí)行 bug 支出增加兩倍，達(dá)到 15 000 美元。

添加新的關(guān)鍵站點(diǎn)

在過(guò)去 6 個(gè)月中將 Web Bug 賞金計(jì)劃擴(kuò)展到了以下站點(diǎn)：

Autograph– 用于對(duì) Mozilla 產(chǎn)品進(jìn)行簽名的加密簽名服務(wù)。

Lando– Mozilla 的新自動(dòng)代碼落地(code-landing)服務(wù)，能夠輕松地將 Phabricator 修訂版提交到其目標(biāo)存儲(chǔ)庫(kù)。

Phabricator– 用于查看 Firefox 代碼更改的代碼管理工具。

Taskcluster – 支持 Mozilla 的持續(xù)集成與發(fā)布過(guò)程(從核心升級(jí)為關(guān)鍵)的任務(wù)執(zhí)行框架。

關(guān)鍵站點(diǎn)具體信息查看：

https://www.mozilla.org/en-US/security/bug-bounty/web-eligible-sites/#critical-sites

添加新的核心站點(diǎn)

擴(kuò)展了以下任務(wù)核心站點(diǎn)：

Firefox Monitor– 可以在其中注冊(cè)電子郵件地址的網(wǎng)站，以便在帳戶詳細(xì)信息發(fā)生數(shù)據(jù)泄露的情況下通知用戶。

Localization– 服務(wù)提供者可以用來(lái)幫助本地化 Mozilla 產(chǎn)品。

Payment Subscription– 付款前的界面服務(wù)。

Firefox Private Network– 可以從中下載桌面擴(kuò)展程序的站點(diǎn)，該擴(kuò)展可以在使用 Firefox 的任何地方確保安全并保護(hù)連接。

Ship It– 該系統(tǒng)接受來(lái)自人的發(fā)布請(qǐng)求，將其轉(zhuǎn)換為基于 Buildbot 的發(fā)布自動(dòng)化可以處理的信息并發(fā)出請(qǐng)求。

Speak To Me– Mozilla 的語(yǔ)音識(shí)別 API。

核心站點(diǎn)具體信息查看：

https://www.mozilla.org/en-US/security/bug-bounty/web-eligible-sites/#core-sites

Mozilla 介紹當(dāng)前這些變化已經(jīng)開(kāi)始應(yīng)用于最近報(bào)告的 Web bug 中，詳情查看發(fā)布公告：

https://blog.mozilla.org/security/2019/11/19/updates-to-the-mozilla-web-security-bounty-program