Google betalte ut mest penger det noen gang har hatt i 2022 til sikkerhetsforskere.
Sårbarheter er en sikkerhet i programvare, og utviklere vil alltid anta at programvaren deres er sårbar på en eller annen måte, form eller form for en eller annen form for angrep. Det er imidlertid ikke alltid mulig for bedrifter å identifisere hvert enkelt problem med en del av programvare, og ofte kan en løsning for en sårbarhet føre til at en annen sårbarhet dukker opp andre steder. Bug-premier og sårbarhetsbelønningsprogrammer er viktige for å motivere sikkerhetsforskere til å se litt tettere på programvare, samtidig som de presser potensielle dårlige skuespillere til å få en umiddelbar utbetaling og varsle selskapet om problemet i stedet. 2022 var det største året for Googles sårbarhetsbelønningsprogrammer hittil.
I 2022 betalte Google ut 12 millioner dollar i dusørbelønninger, fordelt på mer enn 2900 sikkerhetssårbarheter. Den høyeste av disse var en utbetaling i Android Vulnerability Program, i form av en betaling på $605 000. Androids sårbarhetsbelønningsprogram som helhet fikk 4,8 millioner dollar utbetalt i belønninger, og Android Chipset Security Reward Program, et belønningsprogram kun for invitasjoner, belønnet $468 000 over mer enn 700 rapporter.
Når det gjelder Google Chrome, fikk Chrome Vulnerability Reward-programmet totalt $4 millioner i utbetalinger. 3,5 millioner dollar av dette gikk til å belønne forskere som oppdaget 363 feil i Google Chrome, og nesten 500 000 dollar av det gikk til forskere som fant feil i ChromeOS. I år har Chrome VRP lagt til en ny kategori i fjor for minnekorrupsjonsfeil i svært privilegerte prosesser for å motivere forskere til å målrette mot disse områdene.
Som en stor bidragsyter til åpen kildekode-programvarefellesskapet (OSS), introduserte Google også et sårbarhetsbelønningsprogram for sine egne OSS-programmer. Over 100 personer har deltatt i prosjektet og mottatt belønninger på til sammen mer enn $110 000.
Hvis du er interessert i å finne ut hvordan du finner feil og sårbarheter selv, lanserte Google Bug Hunters University (BHU) i fjor også. Det er instruksjonsvideoer, guider for å lage rapporter, og sikkerhetsforskere som LiveOverflow og stackmashing (tidligere Ghidra Ninja) er bidragsytere til BHU. Google har gjort en kontinuerlig innsats for å økonomisk støtte sikkerhetsforskere som finner feil og sårbarheter i Google-programvare, og du kan sjekke ut "Hacker Google" miniserie på YouTube for en titt bak kulissene.