Google je 2022. isplatio najviše novca koji je ikada imao istraživačima sigurnosti.
Ranjivosti su izvjesne u softveru, a programeri hoće stalno pretpostaviti da je njihov softver na neki način, oblik ili oblik ranjiv na neku vrstu napada. Međutim, tvrtkama nije uvijek moguće identificirati svaki pojedini problem s dijelom softver, a često popravak ranjivosti može rezultirati pojavom druge ranjivosti drugdje. Nagrade za bugove i programi nagrađivanja za ranjivost važni su kako bi se istraživače sigurnosti potaknulo da malo potraže bliže softveru, istovremeno potičući potencijalne loše aktere da dobiju trenutnu isplatu i upozore tvrtku na problem umjesto toga. 2022. bila je dosad najveća godina za Googleove programe nagrađivanja ranjivosti.
U 2022. Google je isplatio 12 milijuna dolara nagrada, raspoređenih na više od 2900 sigurnosnih propusta. Najveća od njih bila je isplata u programu Android Vulnerability Program, u obliku uplate od 605.000 dolara. Androidov program nagrađivanja ranjivosti u cjelini donio je 4,8 milijuna dolara isplaćenih nagrada, a Android Chipset Security Reward Program, program nagrađivanja samo uz pozivnicu, nagrađen je s 468.000 dolara u više od 700 izvještaji.
Što se tiče Google Chromea, Chrome Vulnerability Reward Program je doživio isplate od ukupno 4 milijuna dolara. Od toga je 3,5 milijuna dolara otišlo za nagrađivanje istraživača koji su otkrili 363 buga u Google Chromeu, a gotovo 500.000 dolara od toga otišlo je za istraživače koji su pronašli bugove u ChromeOS-u. Ove je godine Chrome VRP dodao novu kategoriju prošle godine za greške u memoriji u visoko privilegiranim procesima kako bi potaknuo istraživače da ciljaju ta područja.
Kao veliki doprinos zajednici softvera otvorenog koda (OSS), Google je također uveo program nagrađivanja ranjivosti za vlastite OSS programe. Više od 100 ljudi sudjelovalo je u projektu i primilo nagrade u ukupnom iznosu većem od 110.000 dolara.
Ako ste zainteresirani za otkrivanje kako sami pronaći greške i ranjivosti, Google je pokrenuo Sveučilište lovaca na bube (BHU) i prošle godine. Postoje videozapisi s uputama, vodiči za izradu izvješća, a istraživači sigurnosti kao što su LiveOverflow i stacksmashing (bivši Ghidra Ninja) su suradnici BHU-a. Google je uložio kontinuirane napore u financijskoj podršci sigurnosnim istraživačima koji pronalaze pogreške i ranjivosti u Googleovom softveru, a možete pogledati "Hakiranje Googlea" miniserije na YouTubeu za pogled iza kulisa.