Google udbetalte flest penge, det nogensinde har haft i 2022, til sikkerhedsforskere.
Sårbarheder er en sikkerhed i software, og det vil udviklere altid antage, at deres software er sårbar på en eller anden måde, form eller form for en eller anden form for angreb. Det er dog ikke altid muligt for virksomheder at identificere hvert enkelt problem med et stykke software, og ofte kan en rettelse af en sårbarhed resultere i, at en anden sårbarhed dukker op andre steder. Bug bounties og sårbarhedsbelønningsprogrammer er vigtige for at tilskynde sikkerhedsforskere til at kigge lidt tættere på software og samtidig presse potentielle dårlige skuespillere til at få en øjeblikkelig udbetaling og advare virksomheden om problemet i stedet. 2022 var det hidtil største år for Googles sårbarhedsbelønningsprogrammer.
I 2022 udbetalte Google $12 millioner i dusørbelønninger fordelt på mere end 2.900 sikkerhedssårbarheder. Den højeste af dem var en udbetaling i Android Vulnerability Program i form af en betaling på $605.000. Androids sårbarhedsbelønningsprogram som helhed fik $4,8 millioner udbetalt i belønninger, og Android Chipset Security Reward Program, et belønningsprogram kun for invitationer, belønnede $468.000 over mere end 700 rapporter.
Hvad angår Google Chrome, så Chrome Vulnerability Reward-programmet i alt $4 millioner i udbetalinger. $3,5 millioner af det gik til at belønne forskere, der opdagede 363 fejl i Google Chrome, og næsten $500.000 af det gik til forskere, der fandt fejl i ChromeOS. I år har Chrome VRP tilføjet en ny kategori sidste år for hukommelseskorruptionsfejl i meget privilegerede processer for at tilskynde forskere til at målrette mod disse områder.
Som en stor bidragyder til open source-softwarefællesskabet (OSS) introducerede Google også et sårbarhedsbelønningsprogram for sine egne OSS-programmer. Over 100 personer har deltaget i projektet og modtaget belønninger på i alt mere end $110.000.
Hvis du er interesseret i at finde ud af, hvordan du selv finder fejl og sårbarheder, lancerede Google Bug Hunters University (BHU) også sidste år. Der er instruktionsvideoer, guider til at lave rapporter, og sikkerhedsforskere som LiveOverflow og stackmashing (tidligere Ghidra Ninja) er bidragydere til BHU. Google har gjort en fortsat indsats for økonomisk at støtte sikkerhedsforskere, der finder fejl og sårbarheder i Google-software, og du kan tjekke "Hacker Google" miniserie på YouTube for et kig bag kulisserne.