桶中鱼记忆安全赏金计划

欢迎参加“桶中之鱼”内存安全奖励计划，这是第一个奖励使用内存安全编程语言提高安全性的关键安全开源软件贡献者的奖励计划。

外面已经有很多安全赏金了，为什么还要再来一个呢？大多数赏金侧重于奖励发现单个漏洞的人。在桶中鱼，我们坚信，为了实现更好的计算机安全，我们必须集中精力解决导致大量漏洞的根本原因，而不是一次修复一个漏洞。在过去的两年里，我们一直在进行自己的安全研究，并对许多项目的漏洞进行量化。我们一次又一次看到的是，内存不安全的编程语言要为大量的漏洞负责。

为此，我们设立了一项赏金，奖励那些解决了这么多漏洞的根本原因的人。我们希望这将会：

规范安全关键型项目应该寻找摆脱内存不安全编程语言的方法的想法。

为了有资格获得奖励，你必须为一个安全关键的开源项目做出贡献，该项目是用内存不安全的语言编写的，其中的更改合并到上游，并且更改使用内存安全的语言来减少内存不安全的危害。在这个项目中，您必须为一个用内存不安全的语言编写的安全关键开源项目做出贡献，在这个项目中，更改被合并到上游中，并且更改使用内存安全的语言来减少内存不安全的危害。

截至本文发布之日，安全关键型开源项目和内存安全(和不安全)语言的定义如下：

是什么让项目变得安全关键？它的使用非常广泛，而且它用在安全敏感的环境中。

是什么让语言记忆变得不安全？内存不安全的编程语言包括但不限于C、C++和汇编语言。

是什么让语言内存变得安全？内存安全编程语言包括但不限于Rust、Go和SWIFT。

添加使库可从Rust或SWIFT使用的绑定(例如，将官方SWIFT绑定添加到图像解析库)。

将项目部分(或完全)迁移到内存安全语言(例如，将图像解析库中的一个解码器/编码器转换为Rust)。

不时，在我们完全酌情的情况下，桶中鱼可以(I)更改这些定义，(Ii)将任何其他语言添加或删除到内存安全或内存不安全列表，或(Iii)添加或删除符合条件的投稿类型。如果您计划参加此计划，您应该不时查看此列表。

奖励为500美元或100美元，取决于贡献额的大小和相关性，由桶中鱼的单独决定权决定。

如果您希望将您的赏金捐赠给合格的501(C)(3)组织，我们将加倍赏金。在接到支付奖励通知后12个月内无人认领的任何奖励将捐赠给我们选择的慈善机构。

以提交/TEMPLATE.md的形式向此存储库发送一个拉请求，将一个新条目添加到提交/目录中。我们的团队将审查提交的材料，如果符合条件，我们会将其合并，并与您一起安排付款。

赏金申请必须在提交后12个月内提出，上游合并。

下面列出的项目中，维护人员已经明确表示，他们有兴趣为采用内存安全语言做出贡献。如果您是开放源码项目的维护者，您可以发送拉取请求将其添加到此处。

问：如果维护人员不接受补丁怎么办？答：记忆安全奖赏只奖励上游合并的贡献。我们强烈鼓励那些对追求丰富感兴趣的人与开源维护者合作，而不是与之对抗，并表现得有远见。

问：有没有办法奖励发现或修复漏洞的人？答：不是，这项奖励是专门针对从内存不安全语言中迁移出来的。

问：一个人可以同时从桶中鱼和另一个赏金计划(例如谷歌的补丁奖励)中获得奖励吗？答：是的！

问：这些赏金不是很高。答：这不是问题，但不，他们不是。这是由对这一主题充满热情的安全工程师从他们个人的口袋里资助的，而不是由一家公司资助的。

问：谁决定哪些提交符合条件？答：我们目前的小组由亚历克斯·盖纳(Alex Gaynor)和保罗·凯勒(Paul Kehrer)组成。

制裁名单和参与能力。我们不能向制裁名单上的个人或制裁名单上的国家(例如古巴、伊朗、朝鲜、苏丹或叙利亚)的个人发放奖励。此外，根据您当地的法律，您的进入能力可能会受到额外的限制。每位提交者负责确定当地法律是否允许您参与。

税收。根据您居住的国家和国籍的不同，您应对任何税收影响负责。如果任何奖励是600美元或更多(或根据美国国税法确定的任何其他金额)，如果您是美国居民，您将收到一份向美国国税局报告奖励的美国表格1099。

违反法律、损害第三方数据/项目、免除责任。您有责任确保您的工作不违反任何当地或美国法律，也不会破坏或损害任何不属于您自己的数据或项目。您理解桶中之鱼或下文第4节中定义的其任何受补偿方对您或任何其他人不承担任何责任，除非在本计划中明确规定的范围内，对您提交给本计划的任何工作，包括工作的可行性，不承担任何责任。

责任和赔偿。桶中鱼或其附属公司、负责人、成员、官员、董事、员工、代表、代理人、律师或继任者和受让人(受补偿方)对根据本计划提交材料的个人或实体(提交者)或任何其他个人、商号或组织，在履行其义务过程中或与其义务相关的任何作为或不作为方面，均不承担任何责任(#34；提交人)或任何其他个人、商号或组织在履行其义务的过程中或与其义务相关的情况下，对其自身或任何其他个人、商号或组织的任何作为或不作为承担任何责任，或对任何其他个人、商号或组织在履行其义务的过程中或与其义务相关的任何行为或不作为承担任何责任。的行为或不作为构成故意的不当行为、不守信用、严重疏忽或鲁莽无视受补偿方在本计划下的义务和义务。提交方同意赔偿受补偿方，并使其不受任何费用、损失、索赔、损害赔偿、债务、费用(包括合理的法律和其他专业费用和支出)、判决、罚款或和解(损失)的损害，这些费用、损失、索赔、损害赔偿、责任、费用(包括合理的法律和其他专业费用和支出)、判决、罚款或和解(损失)是由政府机构或任何其他人在任何威胁或实际诉讼、仲裁或行政诉讼过程中发生的，这些诉讼、仲裁或行政诉讼涉及政府机构或任何其他人在本计划项下完成的工作(已收到报酬或其他与本协议有关的工作)，的行为或不作为构成故意的不当行为、不守信用、严重疏忽或鲁莽无视受补偿方在本计划下的义务和义务。根据受补偿方和提交方之间的关系以及本计划的生命周期，本条款将继续有效，并保持完全的效力和效力。

对程序的更改。对于尚未提交给他们的项目，桶中的鱼可以随时自行决定更改计划的条款。任何更改都应反映在https://github.com/fishinabarrel/bounty.规定的计划文件中。

约束效应。本计划规则对桶中鱼和提交人及其各自的继承人、受让人、继承人和法定代表人均具有约束力，并使其受益，但未经另一方书面同意，任何一方不得转让本协议项下的任何权利。