Google betaalde in 2022 het meeste geld dat het ooit heeft uitgekeerd aan beveiligingsonderzoekers.
Kwetsbaarheden zijn een zekerheid in software, en ontwikkelaars zullen dat ook doen altijd gaan ervan uit dat hun software op de een of andere manier kwetsbaar is voor een of andere aanval. Het is echter niet altijd mogelijk voor bedrijven om elk afzonderlijk probleem met een stukje te identificeren software, en vaak kan een oplossing voor een kwetsbaarheid ertoe leiden dat er nog een kwetsbaarheid opduikt ergens anders. Bug bounties en beloningsprogramma's voor kwetsbaarheden zijn belangrijk om beveiligingsonderzoekers te stimuleren een beetje te kijken dichter bij software, terwijl potentiële slechte actoren er ook toe worden aangezet om onmiddellijk uitbetaald te krijgen en het bedrijf op de hoogte te stellen van het probleem in plaats van. 2022 was het grootste jaar tot nu toe voor de Vulnerability Reward-programma's van Google.
In 2022 betaalde Google $12 miljoen aan premies, verdeeld over meer dan 2.900 beveiligingsproblemen. De hoogste daarvan was een uitbetaling in het Android Vulnerability Program, in de vorm van een betaling van $605.000. Android's Vulnerability Reward Program als geheel zag $4,8 miljoen uitbetaald aan beloningen, en de Android Chipset Security Reward Program, een beloningsprogramma dat alleen op uitnodiging toegankelijk is, beloonde $468.000 over meer dan 700 rapporten.
Wat Google Chrome betreft, zag het Chrome Vulnerability Reward Program in totaal $ 4 miljoen aan uitbetalingen. Daarvan ging 3,5 miljoen dollar naar het belonen van onderzoekers die 363 bugs in Google Chrome ontdekten, en bijna 500.000 dollar daarvan ging naar onderzoekers die bugs in ChromeOS vonden. Dit jaar heeft de Chrome VRP vorig jaar een nieuwe categorie toegevoegd voor geheugencorruptie-bugs in zeer bevoorrechte processen om onderzoekers te stimuleren zich op die gebieden te richten.
Als grote bijdrager aan de open source softwaregemeenschap (OSS) introduceerde Google ook een beloningsprogramma voor kwetsbaarheden voor zijn eigen OSS-programma's. Meer dan 100 mensen hebben aan het project deelgenomen en beloningen ontvangen van in totaal meer dan $110.000.
Als u geïnteresseerd bent om zelf uit te zoeken hoe u bugs en kwetsbaarheden kunt vinden, heeft Google dit gelanceerd Bug Hunters Universiteit (BHU) vorig jaar ook. Er zijn instructievideo's, handleidingen voor het maken van rapporten en beveiligingsonderzoekers zoals LiveOverflow en stacksmashing (voorheen Ghidra Ninja) dragen bij aan BHU. Google heeft zich voortdurend ingespannen om beveiligingsonderzoekers die bugs en kwetsbaarheden in Google-software vinden financieel te ondersteunen. Bekijk hiervoor de "Google hacken"miniserie op YouTube voor een kijkje achter de schermen.