Google推动了Chrome漏洞奖励
Bug赏金计划已经成为公司在软件中发现安全问题并快速解决问题的一种流行方式。谷歌对此类计划并不陌生,它刚刚宣布大幅提高在Chrome中查找漏洞的支出。
一些奖励增加了一倍,而其他奖励增加了两倍,在Google的网络浏览器和其他基于Chromium的浏览器中报告安全漏洞的最高赔偿金额达到令人印象深刻的30,000美元。
也可以看看:
- 谷歌正在关闭Chrome API漏洞,使隐身模式更加安全和私密
- 谷歌取消了其审查的中文搜索引擎Project Dragonfly
- 是的,Google真的在听你对Google智能助理说的话
谷歌表示,其最高基线奖励金额从5,000美元增加到15,000美元,而“高质量报告”则奖金从15,000美元增加到30,000美元。该公司还将针对Chrome Fuzzer计划下运行的模糊器发现的漏洞的额外奖励加倍至1,000美元。
除了将高质量错误报告的奖励加倍之外,Google还澄清了什么构成了高质量的报告:
具有功能性漏洞的高质量报告:
- 高质量的报告(如下所述)加上:
- 包含一个可靠的漏洞,证明报告的错误可以轻松,主动和可靠地用于我们的用户。
高质量报告通常具有以下几个特征:
- 最小化测试用例。
- 证明剥削是非常可能的。
- 分析有助于确定根本原因。
- 报告应该简短,写得很好,只有必要的细节和评测。
- 响应来自修复错误的工程师的问题。
- 建议的补丁。
在一篇关于这些变化的博客文章中,Google表示:
但那还不是全部在Chrome操作系统上,我们将我们的常规奖励增加到15万美元,这些利润链可能会危及Chrome客户端或Chromebox在客户模式下的持久性。固件和锁定屏幕旁路中的安全漏洞也会获得自己的奖励类别。
这些新的奖励金额将适用于今天使用安全模板在Chromium bug跟踪器上提交的错误。与往常一样,请参阅Chrome漏洞奖励计划规则,了解有关该计划的完整详情。
在其他新闻中,我们的朋友在Google Play安全奖励计划中将远程代码执行错误的奖励从5,000美元增加到20,000美元,将不安全的私人数据从1,000美元盗取到3,000美元,并将受保护的应用程序组件从1,000美元增加到3,000美元。 Google Play安全奖励计划还为负责任地向参与的应用开发者披露漏洞支付奖励。查看程序以了解更多信息并查看哪些应用程序在范围内。
图片来源:FOOTAGE VECTOR PHOTO / Shutterstock