Google a versé le plus d’argent jamais disponible en 2022 aux chercheurs en sécurité.
Les vulnérabilités sont une certitude dans les logiciels, et les développeurs toujours supposer que leur logiciel est vulnérable d’une manière ou d’une autre à une sorte d’attaque. Cependant, il n'est pas toujours possible pour les entreprises d'identifier chaque problème à l'aide d'un élément de logiciel, et souvent, un correctif pour une vulnérabilité peut entraîner l'apparition d'une autre vulnérabilité autre part. Les bug bounties et les programmes de récompense des vulnérabilités sont importants afin d'inciter les chercheurs en sécurité à regarder un peu se rapprocher des logiciels, tout en poussant les acteurs potentiellement malveillants à obtenir un paiement immédiat et à alerter l'entreprise du problème plutôt. 2022 a été l'année la plus importante à ce jour pour les programmes de récompense en matière de vulnérabilité de Google.
En 2022, Google a versé 12 millions de dollars de primes, réparties sur plus de 2 900 failles de sécurité. Le plus élevé était un paiement dans le cadre du programme de vulnérabilité Android, sous la forme d'un paiement de 605 000 $. Le programme de récompense des vulnérabilités d'Android dans son ensemble a généré 4,8 millions de dollars versés en récompenses, et le programme Android Chipset Security Reward Program, un programme de récompense sur invitation uniquement, a récompensé 468 000 $ sur plus de 700 rapports.
Quant à Google Chrome, le programme Chrome Vulnerability Reward a généré un total de 4 millions de dollars de paiements. Sur cette somme, 3,5 millions de dollars ont été destinés à récompenser les chercheurs qui ont découvert 363 bogues dans Google Chrome, et près de 500 000 $ ont été destinés aux chercheurs ayant découvert des bogues dans ChromeOS. Cette année, le Chrome VRP a ajouté une nouvelle catégorie pour les bogues de corruption de mémoire dans les processus hautement privilégiés afin d'inciter les chercheurs à cibler ces domaines.
En tant que contributeur majeur à la communauté des logiciels open source (OSS), Google a également introduit un programme de récompense des vulnérabilités pour ses propres programmes OSS. Plus de 100 personnes ont participé au projet et ont reçu des récompenses totalisant plus de 110 000 $.
Si vous souhaitez découvrir comment trouver vous-même des bugs et des vulnérabilités, Google a lancé Université des chasseurs d'insectes (BHU) l’année dernière également. Il existe des vidéos pédagogiques, des guides sur la création de rapports, et des chercheurs en sécurité tels que LiveOverflow et stacksmashing (anciennement Ghidra Ninja) contribuent à BHU. Google a déployé des efforts continus pour soutenir financièrement les chercheurs en sécurité qui découvrent des bugs et des vulnérabilités dans les logiciels Google, et vous pouvez consulter le "Piratage de Google" mini-série sur YouTube pour un aperçu des coulisses.