你们中许多人会知道, Chrome浏览器的漏洞悬赏计划奖励每个直接发现和报告浏览器安全问题的人。
谷歌最近宣布在他的安全博客中的帖子中, 现在数量普遍增加 从“ Chrome漏洞奖励计划”中获得的奖励,对于高质量报告的奖励增加到30,000美元,在Chrome操作系统中发现折衷的奖励被重新评估了150,000美元。
谷歌说 错误奖金增加的亮点包括最高奖励增加了三倍 对于所谓的“基本”报告,从5,000美元到15,000美元的细节很少。
所谓的“高质量”报告的最大收益也翻了一番,其中包含大量信息,这些信息例如解释了黑客如何利用该错误,该错误的来源或如何解决该错误。 根据Chrome Security博客文章,价格从15,000美元到30,000美元不等。
更大的数量仍然是由于在Chrome操作系统中发现了漏洞, 适用于Chromebook或Chromebox的Google软件平台。
在这个水平上 Google还增加了150,000万美元的奖励,以奖励那些发现可能危害Chromebook或Chromebox的攻击的研究人员。 博客文章称,固件中发现的安全漏洞和/或使攻击者可以绕过Chrome OS锁定屏幕的安全漏洞也很有效。
Google从2010年开始创建其漏洞奖励计划。 迄今为止,Google已收到8,500多个错误报告,并向调查人员支付了5万美元。 该计划启动四年后,2014年XNUMX月对奖励基地进行了第一次更改。
当时,Google的Chrome错误程序向安全研究人员支付了超过1.25万美元,这些安全人员在其浏览器中发现了700多个错误,但是Google发现这还不够。 五年后,报告的数量从700个增加到8.500个,Google决定将该奖项提高三倍。
除了上述增加之外,Google还增加了模糊测试的奖励 (或随机测试),一种用于测试软件的技术,漏洞发现者还使用该技术在输入中抛出随机数据。
用于查找问题条目的软件产品。 根据博客文章,“运行Chrome Fuzzer程序的Fuzzer发现的错误的额外奖励也增加了一倍,达到1,000美元。”
这一增加也影响了Google Play安全奖励计划向研究人员支付的金额。
实际上,针对远程代码执行错误的奖励从5,000美元增加到20,000美元,盗窃私有不安全数据从1,000美元增加到3,000美元,对受保护应用程序组件的访问权限从1,000美元增加到3,000美元。
此外,根据Google的说法,如果您以“负责任”的方式向参与的应用程序开发者披露漏洞,您将获得奖金。
以下是新的增强列表和旧的错误奖金表。 符合条件的安全漏洞的奖励通常从$ 500到$ 150,000不等。
正是因为这一运动的目的是首先将报告提交他们的手中,因为不仅技术公司奖励漏洞猎手,而且政府和罪犯还为漏洞支付费用,这些漏洞可用于间谍活动和身份盗用等活动中。
在博客文章中, Google还澄清了它认为高质量的报告的含义,并更新了错误类别,以使研究人员更轻松。
他说:“我们还澄清了我们认为是高质量的报告,以帮助记者获得尽可能高的报酬,并且我们更新了错误类别,以更好地反映报告的错误类型,并使我们更感兴趣。”说,公司。
谷歌表示,Chrome浏览器漏洞搜寻者的增加将适用于其博客文章发布后提交的内容。 您可以在此处找到有关增加的更多详细信息。
数据来源: https://security.googleblog.com/
如何报告错误?