Google'i haavatavuse programm aitas eelmisel aastal tuvastada ja parandada 2900 turvaviga

Google maksis 2022. aastal turvauurijatele välja kõige rohkem raha, mis tal kunagi on olnud.

Tarkvara haavatavused on kindlad ja arendajad seda teevad alati oletada, et nende tarkvara on mingil viisil, kuju või vormiga haavatav mingisuguse rünnaku suhtes. Siiski ei ole ettevõtetel alati võimalik tuvastada iga üksikut probleemi mingi osaga tarkvara ja sageli võib haavatavuse parandamine kaasa tuua uue haavatavuse mujal. Veapreemiad ja haavatavuse preemiaprogrammid on olulised, et motiveerida turbeteadlasi pisut vaatama tarkvarale lähemale, sundides samal ajal potentsiaalseid halbu näitlejaid saama kohe väljamakse ja teavitama ettevõtet probleemist selle asemel. 2022. aasta oli Google'i haavatavuse preemiaprogrammide jaoks seni suurim aasta.

2022. aastal maksis Google välja 12 miljonit dollarit hüvesid, mis jaotati enam kui 2900 turvaauku vahel. Suurim neist oli Androidi haavatavuse programmi väljamakse 605 000 dollari suuruse maksena. Androidi haavatavuse preemiaprogrammist tervikuna maksti preemiatena välja 4,8 miljonit dollarit ja Android Chipset Security Reward Program, ainult kutsetega preemiaprogramm, premeeris rohkem kui 700 eest 468 000 dollarit aruanded.

Mis puudutab Google Chrome'i, siis Chrome'i haavatavuse preemiaprogrammis tehti väljamakseid kokku 4 miljonit dollarit. Sellest 3,5 miljonit dollarit läks premeerimiseks teadlastele, kes avastasid Google Chrome'is 363 viga, ja sellest peaaegu 500 000 dollarit läks teadlastele, kes leidsid ChromeOS-is vigu. Sel aastal on Chrome'i VRP eelmisel aastal lisanud uue kategooria kõrgelt privilegeeritud protsessides esinevate mälukahjustuste jaoks, et ergutada teadlasi neid valdkondi sihtima.

Avatud lähtekoodiga tarkvarakogukonna (OSS) suure panustajana tutvustas Google omaenda OSS-programmidele ka haavatavuse preemiaprogrammi. Projektis on osalenud üle 100 inimese ja saanud preemiaid kokku üle 110 000 dollari.

Kui soovite välja mõelda, kuidas ise vigu ja turvaauke leida, käivitas Google Bug Huntersi ülikool (BHU) ka eelmisel aastal. Seal on õppevideod, aruannete koostamise juhendid ning BHU-sse aitavad kaasa turvauurijad, nagu LiveOverflow ja stacksmashing (endine Ghidra Ninja). Google on teinud jätkuvaid jõupingutusi, et rahaliselt toetada turbeuurijaid, kes leiavad Google'i tarkvaras vigu ja haavatavusi, ning saate vaadata "Google'i häkkimine" miniseriaal YouTube'is, et vaadata telgitagustest.