Googlov program ranljivosti mu je lani pomagal odkriti in odpraviti 2900 varnostnih napak

Google je leta 2022 varnostnim raziskovalcem izplačal največ denarja doslej.

Ranljivosti so v programski opremi gotove in razvijalci jih bodo nenehno domnevajo, da je njihova programska oprema na nek način, obliko ali obliko ranljiva za nekakšen napad. Vendar pa podjetja ne morejo vedno identificirati vsake posamezne težave z delom programske opreme in pogosto lahko popravek ranljivosti povzroči pojav druge ranljivosti drugje. Nagrade za hrošče in programi nagrajevanja za ranljivost so pomembni, da spodbudijo varnostne raziskovalce, da malo pogledajo bližje programski opremi, hkrati pa potencialne slabe akterje spodbudi k takojšnjemu izplačilu in opozori podjetje na težavo namesto tega. Leto 2022 je bilo največje leto za Googlove programe nagrajevanja ranljivosti doslej.

Leta 2022 je Google izplačal 12 milijonov dolarjev nagrad, razdeljenih na več kot 2900 varnostnih ranljivosti. Najvišje med njimi je bilo izplačilo v programu Android Vulnerability Program v obliki plačila v višini 605.000 $. Androidov program nagrajevanja ranljivosti je kot celota prejel 4,8 milijona dolarjev izplačanih nagrad, Android pa Chipset Security Reward Program, program nagrajevanja samo s povabilom, je nagradil 468.000 $ v več kot 700 poročila.

Kar zadeva Google Chrome, je Chrome Vulnerability Reward Program prejel skupno 4 milijone dolarjev izplačil. Od tega je 3,5 milijona dolarjev šlo za nagrajevanje raziskovalcev, ki so odkrili 363 hroščev v brskalniku Google Chrome, skoraj 500.000 dolarjev pa je šlo za raziskovalce, ki so odkrili hrošče v sistemu ChromeOS. Letos je Chrome VRP lani dodal novo kategorijo za hrošče, ki povzročajo poškodbe pomnilnika v zelo privilegiranih procesih, da spodbudi raziskovalce, da se usmerijo na ta področja.

Kot velik prispevek k skupnosti odprtokodne programske opreme (OSS) je Google uvedel tudi program nagrajevanja ranljivosti za lastne programe OSS. V projektu je sodelovalo več kot 100 ljudi, ki so prejeli nagrade v skupni vrednosti več kot 110.000 $.

Če vas zanima, kako sami najti hrošče in ranljivosti, je Google predstavil Univerza lovcev na hrošče (BHU) tudi lani. Obstajajo videoposnetki z navodili, vodniki za pripravo poročil in varnostni raziskovalci, kot sta LiveOverflow in stacksmashing (prej Ghidra Ninja), prispevajo k BHU. Google si nenehno prizadeva finančno podpreti varnostne raziskovalce, ki odkrijejo hrošče in ranljivosti v Googlovi programski opremi, in si lahko ogledate "Vdiranje v Google" miniserije na YouTubu za vpogled v zakulisje.