W 2022 r. Google wypłacił badaczom bezpieczeństwa najwięcej pieniędzy, jakie kiedykolwiek miał.
Luki w oprogramowaniu są pewne i programiści to zrobią zawsze zakładać, że ich oprogramowanie jest w jakiś sposób, w kształcie lub formie podatne na atak. Jednak nie zawsze firmy mają możliwość zidentyfikowania każdego pojedynczego problemu na podstawie jego fragmentu oprogramowania i często załatanie luki może skutkować pojawieniem się kolejnej luki gdzie indziej. Nagrody za błędy i programy nagród za luki w zabezpieczeniach są ważne, aby zachęcić badaczy bezpieczeństwa do przyjrzenia się trochę bliżej oprogramowania, jednocześnie naciskając na potencjalnych złych aktorów, aby uzyskali natychmiastową wypłatę i powiadomili firmę o problemie Zamiast. Rok 2022 był najlepszym rokiem w historii programów nagród Google za luki w zabezpieczeniach.
W 2022 r. Google wypłacił nagrody o wartości 12 milionów dolarów rozłożone na ponad 2900 luk w zabezpieczeniach. Największą z nich była wypłata w ramach programu podatności na zagrożenia Androida w formie płatności w wysokości 605 000 dolarów. W sumie w ramach programu nagród za luki w zabezpieczeniach systemu Android wypłacono 4,8 miliona dolarów w postaci nagród, a program Android Program nagród za bezpieczeństwo chipsetów, program nagród dostępny tylko dla zaproszonych, nagrodzony kwotą 468 000 dolarów w ponad 700 raporty.
Jeśli chodzi o przeglądarkę Google Chrome, w ramach programu nagród za luki w zabezpieczeniach przeglądarki Chrome wypłacono łącznie 4 miliony dolarów. Z tego 3,5 miliona dolarów przeznaczono na nagrody dla badaczy, którzy odkryli 363 błędy w przeglądarce Google Chrome, a prawie 500 000 dolarów przeznaczono na badaczy znajdujących błędy w ChromeOS. W tym roku w Chrome VRP dodano nową kategorię obejmującą błędy powodujące uszkodzenie pamięci w wysoce uprzywilejowanych procesach, aby zachęcić badaczy do skupienia się na tych obszarach.
Jako duży uczestnik społeczności oprogramowania open source (OSS), Google wprowadził także program nagradzania za luki w zabezpieczeniach dla swoich własnych programów OSS. W projekcie wzięło udział ponad 100 osób, które otrzymały nagrody o łącznej wartości ponad 110 000 dolarów.
Jeśli chcesz dowiedzieć się, jak samodzielnie znaleźć błędy i luki w zabezpieczeniach, uruchomiliśmy usługę Google Uniwersytet Łowców Błędów (BHU) również w zeszłym roku. Istnieją filmy instruktażowe, przewodniki dotyczące tworzenia raportów, a badacze bezpieczeństwa, tacy jak LiveOverflow i stacksmashing (dawniej Ghidra Ninja), współpracowali z BHU. Firma Google nieustannie stara się wspierać finansowo badaczy bezpieczeństwa, którzy znajdują błędy i luki w oprogramowaniu Google. Możesz zapoznać się z „Włamanie do Google'a” miniserial w YouTube, gdzie można zajrzeć za kulisy.