多くの人が知っているように、 Chromeの脆弱性報奨金プログラムは、ブラウザのセキュリティ問題を直接発見して報告したことに対して、すべての人に報います。
Googleは最近発表しました、彼のセキュリティブログへの投稿で、 現在、一般的に量が増加しています 「ChromeVulnerabilityRewards Program」から、高品質のレポートに対する報酬が30,000ドルに増加し、ChromeOSの侵害を見つけるためのボーナスが150,000ドル再評価されました。
グーグルはそれを言います バグボーナスの増加のハイライトには、最大報酬のXNUMX倍が含まれます 5,000ドルから15,000ドルまでの詳細がほとんどない、いわゆる「基本」レポートの場合。
ハッカーがバグを悪用する方法、その原因、解決方法などを説明する多数の情報を含む、いわゆる「高品質」レポートの最大の見返りも15,000倍になります。 Chrome Securityのブログ記事によると、30,000ドルからXNUMXドルです。
最大の金額は、依然としてChromeOSの脆弱性の発見によるものです。 ChromebookまたはChromebox用のGoogleのソフトウェアプラットフォーム。
このレベルでは、 Googleはまた、ChromebookまたはChromeboxを危険にさらす可能性のある攻撃を発見する研究者に対して、その報酬を150,000ドルに増やしました。 ブログ投稿によると、ファームウェアで見つかったセキュリティバグや、攻撃者がChromeOSのロック画面をバイパスできるようにするセキュリティバグも報われます。
Googleは2010年からバグボーナスプログラムを作成しています。 現在までに、Googleは8,500以上のバグレポートを受け取り、調査員に5万ドルを支払いました。 受賞ベースの最初の変更は、プログラムの開始から2014年後のXNUMX年XNUMX月に行われました。
当時、GoogleのChromeバグプログラムは、ブラウザで1.25を超えるバグを発見したセキュリティ研究者に700万ドル以上を支払いましたが、Googleはこれでは不十分であると判断しました。 700年後、レポートの数は8.500からXNUMXに増加し、Googleは賞をXNUMX倍にすることを決定しました。
上記の増加に加えて、Googleはファズテストの報酬も増やしました (またはランダムテスト)、バグハンターが入力にランダムデータをスローするためにも使用するソフトウェアをテストするための手法。
問題のエントリを見つけるためのソフトウェア製品。 ブログ投稿によると、「ChromeFuzzerプログラムを実行しているファザーによって発見されたバグの追加ボーナスも1,000倍のXNUMXドルになりました。」
この増加は、GooglePlayセキュリティ報酬プログラムによって研究者に支払われる金額にも影響を及ぼしました。
実際、リモートコード実行エラーの報酬は5,000ドルから20,000ドルに、セキュリティで保護されていないプライベートデータの盗難は1,000ドルから3,000ドルに、保護されたアプリケーションコンポーネントへのアクセスは1,000ドルから3,000ドルに上昇しました。
さらに、Googleによれば、参加しているアプリケーション開発者に「責任ある」方法で脆弱性を開示すると、ボーナスを受け取ります。
以下は、新しい拡張リストと古いバグボーナステーブルです。 適格なセキュリティバグに対する報酬は、通常500ドルから150,000ドルの範囲です。
そして、この運動は、テクノロジー企業がバグハンターに報酬を与えるだけでなく、政府や犯罪者がスパイ活動などの活動で使用できる脆弱性に対しても支払うため、レポートが最初に手に入るようにすることを意図しています。とアイデンティティの盗難。
ブログ投稿では、 また、Googleは、高品質のレポートと見なすものを明確にし、エラーカテゴリを更新して、研究者が簡単に利用できるようにしました。
「また、ジャーナリストが可能な限り最高の報酬を獲得できるように、高品質のレポートと見なすものを明確にしました。また、報告されたエラーの種類をより適切に反映するようにエラーカテゴリを更新し、より関心を持っています」と彼は言いました。会社。
Googleによると、Chromeバグハンターのこの増加は、ブログ投稿後に送信された送信に適用されます。 増加の詳細については、こちらをご覧ください。
出典 https://security.googleblog.com/
バグを報告するにはどうすればよいですか?