Google ievainojamības programma pagājušajā gadā palīdzēja identificēt un novērst 2900 drošības trūkumus

2022. gadā Google izmaksāja drošības pētniekiem lielāko naudas summu, kāda tai jebkad ir bijusi.

Programmatūras ievainojamības ir skaidras, un izstrādātāji to darīs vienmēr pieņemt, ka viņu programmatūra kaut kādā veidā, formā vai formā ir neaizsargāta pret kāda veida uzbrukumiem. Tomēr uzņēmumiem ne vienmēr ir iespējams identificēt katru problēmu ar daļu programmatūru, un bieži vien ievainojamības labošana var izraisīt citas ievainojamības parādīšanos citur. Kļūdu balvas un ievainojamības atlīdzības programmas ir svarīgas, lai mudinātu drošības pētniekus mazliet paskatīties pievēršot uzmanību programmatūrai, vienlaikus mudinot iespējamos sliktus dalībniekus saņemt tūlītēju izmaksu un brīdināt uzņēmumu par problēmu vietā. 2022. gads bija līdz šim lielākais gads Google ievainojamības atlīdzības programmām.

2022. gadā Google izmaksāja 12 miljonu dolāru lielu atlīdzību, kas sadalīta vairāk nekā 2900 drošības ievainojamību. Lielākā no tām bija izmaksa Android ievainojamības programmā USD 605 000 maksājuma veidā. Android ievainojamības atlīdzības programmā kopumā atlīdzībās tika izmaksāti 4,8 miljoni USD, un Android Chipset Security Reward Programme, tikai ielūguma atlīdzības programma, atalgoja USD 468 000 par vairāk nekā 700 ziņojumi.

Kas attiecas uz Google Chrome, Chrome ievainojamības atlīdzības programmā kopumā tika izmaksāti 4 miljoni USD. 3,5 miljoni dolāru no tā tika novirzīti pētnieku atalgošanai, kuri pārlūkā Google Chrome atklāja 363 kļūdas, un gandrīz 500 000 $ tika novirzīti pētniekiem ChromeOS kļūdu atrašanai. Šogad Chrome VRP pagājušajā gadā ir pievienojusi jaunu kategoriju atmiņas bojājuma kļūdām ļoti priviliģētos procesos, lai stimulētu pētniekus pievērsties šīm jomām.

Būdams liels atvērtā pirmkoda programmatūras kopienas (OSS) līdzstrādnieks, Google ieviesa arī ievainojamības atlīdzības programmu savām OSS programmām. Vairāk nekā 100 cilvēku ir piedalījušies projektā un saņēmuši atlīdzības vairāk nekā 110 000 USD vērtībā.

Ja vēlaties uzzināt, kā pats atrast kļūdas un ievainojamības, Google uzsāka darbu Bug Hunters University (BHU) arī pagājušajā gadā. Ir pieejami mācību video, ceļveži par atskaišu veidošanu, un drošības pētnieki, piemēram, LiveOverflow un stacksmashing (agrāk Ghidra Ninja), ir BHU līdzstrādnieki. Google ir pielikusi nepārtrauktas pūles, lai finansiāli atbalstītu drošības pētniekus, kuri Google programmatūrā atrod kļūdas un ievainojamības, un jūs varat pārbaudītGoogle uzlaušana" miniseriāls vietnē YouTube, lai ielūkotos aizkulisēs.