Praėjusiais metais „Google“ pažeidžiamumo programa padėjo nustatyti ir ištaisyti 2 900 saugos trūkumų

„Google“ 2022 m. išmokėjo daugiausia pinigų saugumo tyrinėtojams.

Programinės įrangos pažeidžiamumas yra tikras, ir kūrėjai tai padarys visada manyti, kad jų programinė įranga tam tikru būdu, forma ar forma yra pažeidžiama tam tikram išpuoliui. Tačiau įmonėms ne visada įmanoma nustatyti kiekvieną problemą su tam tikra dalimi programinės įrangos, o dažnai pažeidžiamumo pataisymas gali sukelti kitą pažeidžiamumą kitur. Atlygio už klaidas ir atlygio už pažeidžiamumą programos yra svarbios siekiant paskatinti saugumo tyrinėtojus šiek tiek pažvelgti priartėti prie programinės įrangos, o taip pat priversti būsimus blogus veikėjus nedelsiant gauti išmoką ir įspėti įmonę apie problemą vietoj to. 2022-ieji buvo didžiausi Google pažeidžiamumo apdovanojimų programos metai.

2022 m. „Google“ išmokėjo 12 mln. Didžiausias iš jų buvo išmokėjimas „Android“ pažeidžiamumo programoje 605 000 USD mokėjimo forma. Pagal visą „Android“ pažeidžiamumo apdovanojimo programą buvo išmokėta 4,8 mln. USD, o „Android“ Chipset Security Reward Program, atlygio programa, skirta tik pakvietimui, buvo apdovanota 468 000 USD daugiau nei 700 pranešimus.

Kalbant apie „Google Chrome“, „Chrome“ pažeidžiamumo atlygio programa iš viso išmokėjo 4 mln. USD. 3,5 mln. USD iš jų buvo skirta atlyginti mokslininkams, kurie „Google Chrome“ aptiko 363 klaidas, o beveik 500 000 USD iš jų buvo skirta mokslininkams, ieškantiems „ChromeOS“ klaidų. Šiais metais „Chrome“ VRP praėjusiais metais įtraukė naują atminties sugadinimo klaidų kategoriją itin privilegijuotuose procesuose, kad paskatintų tyrėjus taikyti šias sritis.

Kaip didelė atvirojo kodo programinės įrangos bendruomenės (OSS) bendradarbė, „Google“ taip pat pristatė pažeidžiamumo atlygio programą savo OSS programoms. Daugiau nei 100 žmonių dalyvavo projekte ir gavo daugiau nei 110 000 USD atlygį.

Jei norite išsiaiškinti, kaip patiems rasti klaidų ir pažeidžiamumų, „Google“ paleido Klaidų medžiotojų universitetas (BHU) taip pat pernai. Yra mokomieji vaizdo įrašai, ataskaitų rengimo vadovai, o saugumo tyrinėtojai, tokie kaip LiveOverflow ir stacksmashing (anksčiau Ghidra Ninja), prisideda prie BHU. „Google“ nuolat deda pastangas finansiškai remdama saugos tyrinėtojus, kurie randa „Google“ programinės įrangos klaidų ir pažeidžiamumų, o jūs galite peržiūrėti „„Google“ įsilaužimas“ mini serialas „YouTube“, kad pažvelgtumėte į užkulisius.