對于谷歌基于Chrome瀏覽器的基于瀏覽器的軟件基礎(chǔ)Chrome OS

自2010年以來，Google已向某些報(bào)告了Chrome瀏覽器安全漏洞的人付款。如果成為數(shù)字賞金獵人聽起來像是一場甜蜜的演出，那么Google就會(huì)提高獎(jiǎng)勵(lì)。據(jù)Chrome Security博客文章稱，亮點(diǎn)包括將最高基準(zhǔn)獎(jiǎng)勵(lì)的三倍(從5,000美元提高到15,000美元)，以及將“高質(zhì)量報(bào)告”的最高獎(jiǎng)勵(lì)從15,000美元提高一倍，從15,000美元至30,000美元。

對于谷歌基于Chrome瀏覽器的基于瀏覽器的軟件基礎(chǔ)Chrome OS，谷歌還將其長期獎(jiǎng)勵(lì)提高到了15萬美元，因?yàn)樗沂玖?在更嚴(yán)格的訪客模式下可能危害Chromebook或Chromebox的攻擊。谷歌 周四表示，固件中發(fā)現(xiàn)的安全漏洞或使攻擊者繞過Chrome OS的鎖定屏幕的安全漏洞也會(huì)產(chǎn)生獎(jiǎng)勵(lì) 。

最重要的是，Google越來越多地提高了對模糊測試的獎(jiǎng)勵(lì)，該測試是一種錯(cuò)誤檢測方法，可以在產(chǎn)品上拋出隨機(jī)數(shù)據(jù)，以查找問題的輸入。博客文章說：“ Chrome瀏覽器Fuzzer計(jì)劃下運(yùn)行的Fuzzer發(fā)現(xiàn)的錯(cuò)誤所獲得的額外獎(jiǎng)勵(lì)也翻了一番，達(dá)到1000美元。”

漏洞賞金已變得很普遍，因?yàn)榭萍脊菊趯ふ曳椒ǎ苑乐蛊洚a(chǎn)品成為攻擊的途徑，這些攻擊可用于竊取個(gè)人數(shù)據(jù)，進(jìn)入公司網(wǎng)絡(luò)，將計(jì)算機(jī)扣為人質(zhì)，直到勒索贖金或只是使機(jī)器崩潰。但是那些尋找bug的人比生產(chǎn)產(chǎn)品的公司有更多的選擇。政府和罪犯還為漏洞利用付費(fèi)—這些工具可用于間諜活動(dòng)和身份盜竊等活動(dòng)。

谷歌表示，自2010年創(chuàng)建Chrome漏洞獎(jiǎng)勵(lì)計(jì)劃以來，人們報(bào)告了8500個(gè)錯(cuò)誤，并且Google支付了超過500萬美元。

那是很多錢。但是當(dāng)您考慮到在硅谷雇用一名優(yōu)秀的程序員每年可能花費(fèi)數(shù)十萬美元時(shí)，這并沒有那么大。

Google對什么才是“高質(zhì)量報(bào)告”有具體規(guī)定 ，并在其頁面上進(jìn)行了詳細(xì)說明。

Google Play，Google的Android軟件分發(fā)網(wǎng)站，也帶來了更大的收益。該公司表示，遠(yuǎn)程代碼執(zhí)行錯(cuò)誤的獎(jiǎng)勵(lì)從5,000美元增加到20,000美元，盜竊不安全的私人數(shù)據(jù)從1,000美元增加到3,000美元，對受保護(hù)的應(yīng)用程序組件的訪問權(quán)限從1,000美元增加到3,000美元。據(jù)谷歌稱，如果您“負(fù)責(zé)任地”向參與應(yīng)用開發(fā)的人員披露漏洞，您將獲得獎(jiǎng)金。您可以閱讀有關(guān)該 程序的信息，以了解更多信息并查看哪些應(yīng)用程序合格。