早在 2010 年,Google 就推出了漏洞悬赏计划(VRP,Vulnerability Rewards Programs),安全研究人员可以将发现的漏洞直接提交给 Google。获得漏洞报告后,Google 将会对漏洞报告进行审核,并根据漏洞危害程度向安全研究人员发放 100 美金到 3 万美金不等的赏金。
如今 Google 发布新的 Bug Hunters 平台,将旗下的所有漏洞悬赏计划统一在一个平台下进行管理,以此来为下一个 10 年做好准备。
bughunters.google.com 是 Google 针对漏洞悬赏计划推出的新网站,Google 旗下众多产品和服务的漏洞悬赏(如 Android 、Chrome、数据滥用、Google services 和 Google Play 等)都将被统一在这一个网站进行管理和提交。而在 bughunters.google.com 中,仅有单一的受理表,使研究人员也能够更加容易地提交报告。
Google 为了激励研究人员更多参与这个计划,在网站上还引入了一些在游戏中常见的排行榜功能,在这个排行榜中,用户可以按照国家、时间、活跃度等指标对研究人员进行排序,以及展示某些漏洞的奖励和徽章。
Google 借此机会还推出了 Bug Hunter University,安全研究人员或者学生群体可以通过新的 Bug Hunter University 中的内容提升他们的相关技能。
自 2010 年诞生以来,Google 在第一个十年里已经奖励了来自 84 个国家的 2022 名研究人员所提交的 11055 个 bug,总支付金额达到了 2936 万美元。仅在去年一年,Google 就支付了 670 万美元。
自成立以来,漏洞悬赏平台让 Google 旗下的产品和服务不断受益,大大小小的漏洞报告数量上也有了显著的增长,甚至是其背后的安全工程师团队也因此受益匪浅,如今已有几十名向 Google 报告漏洞的安全研究人员加入了 Google 团队。
猜你喜欢: