你們中許多人會知道, Chrome瀏覽器的漏洞懸賞計劃獎勵每個直接發現和報告瀏覽器安全問題的人。
谷歌最近宣布在他的安全博客中的帖子中, 現在數量普遍增加 從“ Chrome漏洞獎勵計劃”中獲得的獎勵,對於高質量報告的獎勵增加到30,000美元,在Chrome操作系統中發現折衷的獎勵被重新評估了150,000美元。
谷歌說 錯誤獎金增加的亮點包括最高獎勵增加了三倍 對於所謂的“基本”報告,從$ 5,000到$ 15,000的詳細信息很少。
所謂的“高質量”報告的最大收益也翻了一番,其中包含大量信息,這些信息例如解釋了黑客如何利用該錯誤,該錯誤的來源或如何解決該錯誤。 根據Chrome Security博客文章,價格從15,000美元到30,000美元不等。
更大的數量仍然是由於在Chrome操作系統中發現了漏洞, 適用於Chromebook或Chromebox的Google軟件平台。
在這個水平上 Google還增加了150,000萬美元的獎勵,以獎勵那些發現可能危害Chromebook或Chromebox的攻擊的研究人員。 博客文章稱,固件中發現的安全漏洞和/或使攻擊者可以繞過Chrome OS鎖定屏幕的安全漏洞也帶來了回報。
Google從2010年開始創建其漏洞獎勵計劃。 迄今為止,Google已收到8,500多個錯誤報告,並向調查人員支付了5萬美元。 該計劃啟動四年後,2014年XNUMX月對獎勵基地進行了第一次更改。
當時,Google的Chrome錯誤程序向安全研究人員支付了超過1.25萬美元,後者在他們的瀏覽器中發現了700多個錯誤,但是Google發現這還不夠。 五年後,報告的數量從700個增加到8.500個,Google決定將該獎項提高三倍。
除了上述增加之外,Google還增加了模糊測試的獎勵 (或隨機測試),一種用於測試軟件的技術,漏洞發現者還使用該技術將隨機數據輸入到輸入中。
用於查找問題條目的軟件產品。 根據博客文章,“運行Chrome Fuzzer程序的Fuzzer發現的錯誤的額外獎勵也增加了一倍,達到1,000美元。”
這一增加也影響了Google Play安全獎勵計劃向研究人員支付的金額。
實際上,針對遠程代碼執行錯誤的獎勵從5,000美元增加到20,000美元,盜竊私有不安全數據從1,000美元增加到3,000美元,對受保護應用程序組件的訪問權限從1,000美元增加到3,000美元。
此外,根據Google的說法,如果您以“負責任”的方式向參與的應用程序開發者披露漏洞,您將獲得獎金。
以下是新的增強列表和舊的錯誤獎金表。 符合條件的安全漏洞的獎勵通常在500美元到150,000美元之間。
正是這一運動的目的是使報告首先得到他們的掌握,因為不僅技術公司會獎勵漏洞獵手,而且政府和罪犯也會為漏洞支付費用,這些漏洞可用於間諜活動。和身份盜用。
在博客文章中, Google還澄清了它認為高質量的報告的含義,並更新了錯誤類別,以使研究人員更輕鬆。
他說:“我們還澄清了我們認為是高質量的報告,以幫助記者獲得盡可能高的報酬,並且我們更新了錯誤類別,以更好地反映報告的錯誤類型,並使我們更感興趣。”公司。
谷歌表示,Chrome瀏覽器漏洞搜尋者的增加將適用於他們在博客文章之後提交的提交內容。 您可以在此處找到有關增加的更多詳細信息。
來源: https://security.googleblog.com/
如何報告錯誤?