Desde hoy, Google pagara hasta 20mil dolares a cualquiera que les reporte vulnerabilidades de forma privada.
Esto incluye vulnerabilidades en software de codigo abierto que Google o alguna de sus adquisiciones usa como wordpress, drupal, openssl, openssh, apache, php, ruby, etc.. aunque estas no recibiran 20mil dolares, podran recibir hasta 5mil dolares. Aunque no hay una lista de software publico, pero si sabes que Google usa alguna de estas librerias, Google podria pagar por ellas.
Mas informacion aqui:
http://googleonlinesecurity.blogspot.com/2012/04/spurring-more-vulnerability-research.html
Aunque si te gustaria reportar alguna vulnerabilidad, puedes contactar directamente security@google.com (si no puedes hablar ingles, puedes usar español).
Saludos!!