Kot boste mnogi vedeli, Chromeov program nagrajevanja za ranljivosti nagrajuje vse za neposredno odkrivanje in poročanje o varnostnih težavah brskalnika.
Google je nedavno objavil, v objavi na njegovem varnostnem blogu, ki se zdaj na splošno povečuje iz »Programa nagrajevanja za ranljivosti Chrome«, nagrada za visokokakovostna poročila se je povečala na 30,000 USD, bonus za iskanje kompromisov v OS Chrome pa je bil ocenjen na 150,000 USD.
Google to pravi Poudarki povečanja bonusov za napake vključujejo potrojitev najvišje nagrade za tako imenovano "osnovno" poročilo z zelo malo podrobnosti od 5,000 do 15,000 dolarjev.
Podvoji se tudi največji izplačilo za tako imenovano "visokokakovostno" poročilo z množico informacij, ki na primer pojasnjujejo, kako lahko hekerji izkoriščajo napako, kakšen je njen izvor ali kako jo je mogoče rešiti. Glede na članek v spletnem dnevniku Chrome Security od 15,000 do 30,000 dolarjev.
Večji znesek je še vedno posledica odkrivanja ranljivosti v OS Chrome, Googlova programska platforma za Chromebook ali Chromebox.
Na tej ravni Google je svojo nagrado povečal tudi na 150,000 USD za raziskovalce, ki bodo odkrili napade, ki lahko ogrozijo Chromebook ali Chromebox. V objavi v blogu se izplačajo tudi varnostne napake, ki jih najdemo v vdelani programski opremi in / ali ki omogočajo napadalcem, da obidejo zaklenjeni zaslon sistema Chrome OS.
Google od leta 2010 ustvarja svoj program bonusov za napake. Do danes je Google prejel več kot 8,500 poročil o napakah in preiskovalcem plačal 5 milijonov dolarjev. Prva sprememba osnove za podelitev nagrad je bila izvedena septembra 2014, štiri leta po uvedbi programa.
Takrat je Googlov program za hrošče Chrome plačal več kot 1.25 milijona dolarjev raziskovalcem varnosti, ki so v svojem brskalniku našli več kot 700 napak, vendar je Google ugotovil, da to ni dovolj. Pet let kasneje se je število poročil povečalo s 700 na 8.500 in Google se je odločil, da nagrade potroji.
Poleg zgoraj omenjenih povečanj pojdite še GoOgle je povečal tudi nagrade za testiranje nejasnosti (ali naključni test), tehnika za preizkušanje programske opreme, ki jo lovci napak uporabljajo tudi za vnašanje naključnih podatkov v vhode.
Programski izdelek za iskanje vnosov težav. Po objavi v spletnem dnevniku se je "dodaten bonus za napake, ki so jih našli odštekanci, ki izvajajo program Chrome Fuzzer, podvojil na 1,000 USD."
Povišanje je vplivalo tudi na zneske, ki jih raziskovalcem izplačuje program za varnostne nagrade Google Play.
Dejansko so se nagrade za napake pri oddaljenem izvajanju kode zvišale s 5,000 na 20,000 1,000 dolarjev, kraje zasebnih nezavarovanih podatkov s 3,000 na 1,000 dolarjev in dostop do zaščitenih komponent aplikacije s 3,000 na XNUMX dolarjev.
Poleg tega boste po navedbah Googla, če sodelujočim razvijalcem aplikacij razkrijete ranljivosti na "odgovoren" način, prejeli bonus.
Spodaj je nov razširjeni seznam in stara tabela bonusov za napake. Nagrade za primerne varnostne napake so običajno od 500 do 150,000 USD.
Namen tega gibanja je najprej spraviti poročila v svoje roke, saj ne le tehnološka podjetja nagrajujejo lovce na napake, temveč vlade in kriminalci plačujejo tudi ranljivosti, ki jih lahko uporabijo pri dejavnostih, kot sta vohunjenje in kraja identitete.
V objavi v spletnem dnevniku Google je tudi pojasnil, kaj meni, da je visokokakovostno poročilo, in posodobil kategorije napak, da bi raziskovalcem olajšal.
"Pojasnili smo tudi tisto, kar se nam zdi kakovostno poročilo, da bi novinarjem pomagali pridobiti najvišjo možno nagrado, in posodobili kategorije napak, da bolje odražajo vrste napak, ki so prijavljene in nas bolj zanimajo," je dejala družba.
Google pravi, da bo to povečanje za lovce na napake v Chromu veljalo za prispevke, oddane po objavi v spletnem dnevniku. Več podrobnosti o povečanju najdete tukaj.
vir: https://security.googleblog.com/
Kako naj prijavim napako?