Google vyplatil v roce 2022 výzkumníkům v oblasti bezpečnosti nejvíce peněz, jaké kdy měl.
Zranitelnosti jsou v softwaru jistotou a vývojáři budou vždy předpokládat, že jejich software je nějakým způsobem, tvarem nebo formou zranitelný vůči nějakému druhu útoku. Pro společnosti však není vždy možné identifikovat každý jednotlivý problém s kouskem software a často může oprava zranitelnosti vést k objevení se další zranitelnosti někde jinde. Odměny za chyby a programy odměn za zranitelnost jsou důležité, aby motivovaly bezpečnostní výzkumníky, aby se trochu podívali blíže k softwaru a zároveň tlačí na případné špatné aktéry, aby dostali okamžitou výplatu a upozornili společnost na problém namísto. Rok 2022 byl dosud největším rokem pro programy odměn za zranitelnost společnosti Google.
V roce 2022 společnost Google vyplatila odměny ve výši 12 milionů dolarů, které byly rozděleny do více než 2 900 bezpečnostních chyb. Nejvyšší z nich byla výplata v programu Android Vulnerability Program ve formě platby 605 000 $. V rámci programu odměn za zranitelnost Androidu jako celku bylo vyplaceno 4,8 milionu dolarů na odměnách a Android Program odměn za zabezpečení čipové sady, odměňovací program pouze pro pozvané, odměněn 468 000 $ více než 700 zprávy.
Pokud jde o Google Chrome, program odměn za zranitelnost Chrome zaznamenal výplaty celkem 4 miliony dolarů. Z toho 3,5 milionu dolarů šlo na odměňování výzkumníků, kteří objevili 363 chyb v prohlížeči Google Chrome, a téměř 500 000 dolarů z toho šlo na výzkumníky, kteří našli chyby v ChromeOS. V letošním roce Chrome VRP přidal novou kategorii v loňském roce pro chyby způsobené poškozením paměti ve vysoce privilegovaných procesech, aby motivoval výzkumníky, aby se zaměřili na tyto oblasti.
Google jako velký přispěvatel do komunity open source softwaru (OSS) také zavedl program odměn za zranitelnost pro své vlastní programy OSS. Projektu se zúčastnilo více než 100 lidí a získali odměny v celkové výši více než 110 000 USD.
Pokud vás zajímá, jak sami najít chyby a zranitelná místa, Google spustil Univerzita lovců chyb (BHU) i v loňském roce. Existují instruktážní videa, návody na vytváření zpráv a do BHU přispívají bezpečnostní výzkumníci, jako je LiveOverflow a stacksmashing (dříve Ghidra Ninja). Společnost Google se neustále snaží finančně podporovat bezpečnostní výzkumníky, kteří nacházejí chyby a zranitelnosti v softwaru Google. Můžete se podívat na „Hackování Googlu“ minisérie na YouTube pro nahlédnutí do zákulisí.