Googlen haavoittuvuusohjelma auttoi sitä tunnistamaan ja korjaamaan 2 900 tietoturvavirhettä viime vuonna

Google maksoi eniten rahaa koskaan vuonna 2022 tietoturvatutkijoille.

Haavoittuvuudet ovat varmaa ohjelmistoissa, ja kehittäjät tekevät sen aina olettaa, että heidän ohjelmistonsa on jollain tavalla, muodoltaan tai muodoltaan alttiina jollekin hyökkäykselle. Yritysten ei kuitenkaan aina ole mahdollista tunnistaa jokaista ongelmaa osasta ohjelmistoja, ja usein haavoittuvuuden korjaus voi johtaa toisen haavoittuvuuden ilmaantumiseen muualla. Virhepalkkiot ja haavoittuvuuspalkkioohjelmat ovat tärkeitä, jotta tietoturvatutkijoita voidaan kannustaa katsomaan hieman lähemmäksi ohjelmistoja, samalla painostaen mahdollisia huonoja toimijoita saamaan välittömän maksun ja varoittamaan yritystä ongelmasta sen sijaan. Vuosi 2022 oli tähän mennessä suurin Googlen haavoittuvuuspalkkio-ohjelmille.

Vuonna 2022 Google maksoi 12 miljoonaa dollaria palkkioita, jotka jakautuivat yli 2 900 tietoturva-aukkoon. Suurin niistä oli Androidin haavoittuvuusohjelman maksu 605 000 dollarin maksuna. Androidin Vulnerability Reward -ohjelmasta kokonaisuudessaan maksettiin palkintoina 4,8 miljoonaa dollaria, ja Android Chipset Security Reward Program, vain kutsuun perustuva palkintoohjelma, palkitsi 468 000 dollaria yli 700 raportteja.

Mitä tulee Google Chromeen, Chromen haavoittuvuuspalkkioohjelmassa maksettiin yhteensä 4 miljoonaa dollaria. Siitä 3,5 miljoonaa dollaria käytettiin tutkijoiden palkitsemiseen, jotka löysivät 363 virhettä Google Chromessa, ja lähes 500 000 dollaria käytettiin tutkijoille, jotka löysivät virheitä ChromeOS: stä. Tänä vuonna Chrome VRP on lisännyt viime vuonna uuden kategorian muistin vioittumisvirheille erittäin etuoikeutetuissa prosesseissa kannustaakseen tutkijoita kohdistamaan kohteet näille alueille.

Avoimen lähdekoodin ohjelmistoyhteisön (OSS) merkittävänä tukejana Google esitteli myös haavoittuvuuspalkkioohjelman omille OSS-ohjelmilleen. Yli 100 ihmistä on osallistunut projektiin ja saanut palkintoja yhteensä yli 110 000 dollaria.

Jos olet kiinnostunut selvittämään, kuinka voit löytää vikoja ja haavoittuvuuksia itse, Google julkaisi Bug Hunters University (BHU) myös viime vuonna. Siellä on opetusvideoita, oppaita raporttien tekemiseen, ja tietoturvatutkijat, kuten LiveOverflow ja stacksmashing (entinen Ghidra Ninja), ovat BHU: n avustajia. Google on jatkanut ponnisteluja tukeakseen taloudellisesti tietoturvatutkijoita, jotka löytävät virheitä ja haavoittuvuuksia Googlen ohjelmistoista, ja voit tutustua "Googlen hakkerointi" minisarja YouTubessa kulissien taakse.