Google betalade ut mest pengar man någonsin haft 2022 till säkerhetsforskare.
Sårbarheter är en säkerhet i mjukvara, och utvecklare kommer att göra det alltid anta att deras programvara är sårbar på något sätt, form eller form för någon form av attack. Det är dock inte alltid möjligt för företag att identifiera varje enskilt problem med en bit av programvara, och ofta kan en fix för en sårbarhet resultera i att en annan sårbarhet dyker upp någon annanstans. Buggbounties och sårbarhetsbelöningsprogram är viktiga för att uppmuntra säkerhetsforskare att leta lite närmare programvaran, samtidigt som man pressar potentiella dåliga skådespelare att få en omedelbar utbetalning och varna företaget om problemet istället. 2022 var det största året för Googles sårbarhetsprogram hittills.
År 2022 betalade Google ut 12 miljoner dollar i bounty-belöningar, fördelat på mer än 2 900 säkerhetsbrister. Den högsta var en utbetalning i Android Vulnerability Program, i form av en betalning på $605 000. Androids vulnerability Reward Program som helhet fick 4,8 miljoner USD utbetalda i belöningar, och Android Chipset Security Reward Program, ett belöningsprogram endast för inbjudningar, belönade $468 000 över mer än 700 rapporterar.
När det gäller Google Chrome fick Chrome Vulnerability Reward-programmet totalt 4 miljoner USD i utbetalningar. $3,5 miljoner av det gick till att belöna forskare som upptäckte 363 buggar i Google Chrome, och nästan $500 000 av det gick till forskare som hittade buggar i ChromeOS. I år har Chrome VRP lagt till en ny kategori förra året för minneskorruptionsbuggar i mycket privilegierade processer för att uppmuntra forskare att rikta in sig på dessa områden.
Som en stor bidragsgivare till mjukvarugemenskapen med öppen källkod (OSS), introducerade Google också ett sårbarhetsprogram för sina egna OSS-program. Över 100 personer har deltagit i projektet och fått belöningar på totalt mer än $110 000.
Om du är intresserad av att ta reda på hur du själv kan hitta buggar och sårbarheter, lanserade Google Bug Hunters University (BHU) förra året också. Det finns instruktionsvideor, guider för att göra rapporter och säkerhetsforskare som LiveOverflow och stackmashing (tidigare Ghidra Ninja) är bidragsgivare till BHU. Google har gjort fortsatta ansträngningar för att ekonomiskt stödja säkerhetsforskare som hittar buggar och sårbarheter i Googles programvara, och du kan kolla in "Hackar Google" miniserie på YouTube för en titt bakom kulisserna.