漏洞奖励计划一直以来致力于用金钱的方式,鼓励安全研究人员提供漏洞报告并协助加固软件。2018年已经来临,据说经历了过去的一年,研究员们也收获了一个“鼓鼓囊囊”的钱包了——据悉,在2017年谷歌的漏洞奖励计划已经为其漏洞支付了290万美元的奖励金额。
谷歌漏洞奖励项目,最大单笔奖励11万美元谷歌的漏洞奖励金额从500美元至100000美元不等,按照不同的奖励金额和时间花费进行了划分。谷歌还提供了漏洞研究补助项目、安全补丁奖励等等,前者为 2017 年选出的全球 50 名安全研究员提供了125000 美元的奖金,而在后面一个项目中谷歌为开源软件的安全修复提供 50000 美元的资金。
而2017年最大的单笔奖励金额为 112500 美元,这笔奖励包含在谷歌的安卓安全奖励项目之中,提供给一名发现Pixel 手机漏洞的中国安全研究员。
由于该组合漏洞的影响面广,未修复前大部分安卓手机都可能会被黑客利用这个组合漏洞攻破。其次,该漏洞是基于底层系统存在的,造成的危害最大,不法分子可利用该漏洞获取用户短信验证码、支付应用权限等,对用户的个人隐私和财产都造成极大威胁。及时发现漏洞修补漏洞,对于整个谷歌生态都会较大的积极作用。
持续扩大漏洞奖励项目规模在发布此漏洞奖励之后,谷歌持续扩大漏洞奖励项目的规模,来吸引更多的人员参与项目。去年,Google 在远程内核漏洞奖励项目中提供的奖励金额从 3万 美元到 15 万美元不等,属于远程内核漏洞中的最高奖励。
漏洞奖励项目的覆盖面也已经拓展到了谷歌产品线的方方面面:Chrome、安卓系统 等等。在 2017 年 10 月他们的还发起了Google Play Store上流行应用程序的安全状态追踪项目。
在漏洞奖励项目中,谷歌还在与其他企业自有的漏洞计划展开合作,如通用汽车,Airbnb,万事达以及五角大楼计划。一些初创企业也在建立和管理平台式的安全中心和漏洞奖励计划,Bugcrowd 和 Hackerone 在2012年建立,迄今为止融资金额超 7500 万美元。