Nel 2022 Google ha pagato la cifra più alta mai ricevuta ai ricercatori nel campo della sicurezza.
Le vulnerabilità sono una certezza nel software e gli sviluppatori lo faranno Sempre presumono che il loro software sia vulnerabile in qualche modo, forma o forma a qualche tipo di attacco. Tuttavia, non è sempre possibile per le aziende identificare ogni singolo problema con un pezzo di software e, spesso, la correzione di una vulnerabilità può comportare la comparsa di un'altra vulnerabilità altrove. I premi per i bug e i programmi di ricompensa per le vulnerabilità sono importanti per incentivare i ricercatori sulla sicurezza a guardare un po’ più vicino al software, spingendo anche i potenziali cattivi attori a ottenere un pagamento immediato e ad avvisare l'azienda del problema Invece. Il 2022 è stato l’anno più importante finora per i programmi di ricompensa per le vulnerabilità di Google.
Nel 2022, Google ha pagato 12 milioni di dollari in premi, distribuiti su oltre 2.900 vulnerabilità della sicurezza. Il più alto dei quali è stato un pagamento nel Programma Vulnerabilità Android, sotto forma di un pagamento di 605.000 dollari. Nel complesso, il Vulnerability Reward Program di Android ha visto la distribuzione di 4,8 milioni di dollari in premi, mentre Android Il Chipset Security Reward Program, un programma di ricompensa solo su invito, ha premiato $ 468.000 su oltre 700 rapporti.
Per quanto riguarda Google Chrome, il programma Chrome Vulnerability Reward ha visto un totale di 4 milioni di dollari in pagamenti. Di questi, 3,5 milioni di dollari sono andati a premiare i ricercatori che hanno scoperto 363 bug in Google Chrome, e quasi 500.000 dollari sono andati ai ricercatori che hanno trovato bug in ChromeOS. Quest'anno, il VRP di Chrome ha aggiunto una nuova categoria lo scorso anno per i bug di corruzione della memoria in processi altamente privilegiati per incentivare i ricercatori a prendere di mira quelle aree.
In qualità di grande contributore alla comunità del software open source (OSS), Google ha anche introdotto un programma di ricompensa per la vulnerabilità per i propri programmi OSS. Oltre 100 persone hanno partecipato al progetto e hanno ricevuto premi per un totale di oltre 110.000 dollari.
Se sei interessato a capire come trovare da solo bug e vulnerabilità, Google ha lanciato Università dei cacciatori di insetti (BHU) anche l'anno scorso. Ci sono video didattici, guide sulla creazione di report e ricercatori di sicurezza come LiveOverflow e stacksmashing (ex Ghidra Ninja) contribuiscono a BHU. Google ha compiuto sforzi continui per supportare finanziariamente i ricercatori sulla sicurezza che rilevano bug e vulnerabilità nel software Google. Puoi consultare il "Hackerare Google" miniserie su YouTube per uno sguardo dietro le quinte.