В 2022 году Google выплатила исследователям безопасности больше всего денег, которые у нее когда-либо были.
Уязвимости в программном обеспечении неизбежны, и разработчики будут всегда предположить, что их программное обеспечение в той или иной форме уязвимо для какой-либо атаки. Однако компаниям не всегда удается выявить каждую проблему с помощью части программное обеспечение, и часто исправление уязвимости может привести к появлению другой уязвимости. в другом месте. Программы вознаграждений за обнаружение ошибок и вознаграждений за уязвимости важны для того, чтобы побудить исследователей безопасности немного присмотреться. ближе к программному обеспечению, одновременно подталкивая потенциальных злоумышленников получить немедленную выплату и предупредить компанию о проблеме. вместо. 2022 год стал самым успешным годом для программ вознаграждения за уязвимости Google.
В 2022 году Google выплатила вознаграждение в размере 12 миллионов долларов США за более чем 2900 уязвимостей безопасности. Самой крупной из них была выплата в рамках Программы уязвимостей Android в виде платежа в размере 605 000 долларов США. В рамках программы вознаграждения за уязвимости Android в целом было выплачено 4,8 миллиона долларов США. Программа вознаграждений Chipset Security Reward Program, доступная только по приглашению, принесла вознаграждение в размере 468 000 долларов США за более чем 700 участников. отчеты.
Что касается Google Chrome, то в рамках программы вознаграждений за уязвимости Chrome было выплачено в общей сложности 4 миллиона долларов. 3,5 миллиона долларов из этой суммы пошли на вознаграждение исследователей, обнаруживших 363 ошибки в Google Chrome, а почти 500 000 долларов из этой суммы пошли на вознаграждение исследователям, обнаружившим ошибки в ChromeOS. В этом году Chrome VRP добавил новую категорию для ошибок, связанных с повреждением памяти в высокопривилегированных процессах, чтобы стимулировать исследователей нацеливаться на эти области.
Будучи крупным участником сообщества программного обеспечения с открытым исходным кодом (OSS), Google также представила программу вознаграждения за уязвимости для своих собственных программ OSS. В проекте приняли участие более 100 человек и получили вознаграждения на общую сумму более $110 000.
Если вам интересно разобраться, как самостоятельно находить ошибки и уязвимости, Google запустил Университет Баг Хантерс (BHU) и в прошлом году. Существуют обучающие видеоролики, руководства по созданию отчетов, а исследователи безопасности, такие как LiveOverflow и stacksmashing (ранее Ghidra Ninja), вносят свой вклад в BHU. Google постоянно прилагает усилия по финансовой поддержке исследователей безопасности, которые находят ошибки и уязвимости в программном обеспечении Google.Взлом Google" Мини-сериал на YouTube, где можно заглянуть за кулисы.