Google v roku 2022 vyplatil výskumníkom v oblasti bezpečnosti najviac peňazí, aké kedy mal.
Zraniteľnosť je v softvéri istota a vývojári budú vždy predpokladať, že ich softvér je nejakým spôsobom, tvarom alebo formou zraniteľný voči nejakému druhu útoku. Nie je však vždy možné, aby spoločnosti identifikovali každý jeden problém s kúskom softvér a často môže oprava zraniteľnosti viesť k objaveniu sa ďalšej zraniteľnosti inde. Odmeny za chyby a programy odmeňovania za zraniteľnosť sú dôležité na to, aby motivovali výskumníkov v oblasti bezpečnosti, aby sa trochu pozreli bližšie k softvéru a zároveň tlačiť na prípadných zlých aktérov, aby dostali okamžitú výplatu a upozornili spoločnosť na problém namiesto toho. Rok 2022 bol doteraz najväčším rokom pre programy odmeňovania zraniteľnosti spoločnosti Google.
V roku 2022 spoločnosť Google vyplatila odmeny vo výške 12 miliónov dolárov, ktoré boli rozdelené na viac ako 2 900 bezpečnostných chýb. Najvyššia z nich bola výplata v programe Android Vulnerability Program vo forme platby 605 000 USD. Program odmeňovania za zraniteľnosť systému Android ako celok zaznamenal vyplatenie odmien vo výške 4,8 milióna dolárov a systém Android Program odmeňovania zabezpečenia čipovej sady, program odmeňovania len na pozvanie, odmenil 468 000 USD viac ako 700 správy.
Čo sa týka prehliadača Google Chrome, program odmeňovania za zraniteľnosť prehliadača Chrome zaznamenal celkovo 4 milióny dolárov na výplatách. Z toho 3,5 milióna dolárov išlo na odmeňovanie výskumníkov, ktorí objavili 363 chýb v prehliadači Google Chrome, a takmer 500 000 dolárov z toho išlo na výskumníkov, ktorí našli chyby v systéme ChromeOS. V tomto roku Chrome VRP pridal minulý rok novú kategóriu pre chyby spôsobené poškodením pamäte vo vysoko privilegovaných procesoch, aby motivoval výskumníkov, aby sa zamerali na tieto oblasti.
Google ako veľký prispievateľ do komunity open source softvéru (OSS) zaviedol aj program odmeňovania za zraniteľnosť pre svoje vlastné programy OSS. Do projektu sa zapojilo viac ako 100 ľudí a získali odmeny v celkovej výške viac ako 110 000 dolárov.
Ak máte záujem zistiť, ako sami nájsť chyby a zraniteľné miesta, Google spustil Univerzita lovcov chýb (BHU) aj minulý rok. Existujú inštruktážne videá, návody na vytváranie správ a do BHU prispievajú výskumní pracovníci v oblasti bezpečnosti ako LiveOverflow a stacksmashing (predtým Ghidra Ninja). Spoločnosť Google sa neustále snaží finančne podporovať výskumníkov v oblasti bezpečnosti, ktorí nachádzajú chyby a slabé miesta v softvéri Google. Môžete si pozrieť „Hacknutie Googlu“ miniseriál na YouTube pre pohľad do zákulisia.