โปรแกรมช่องโหว่ของ Google ช่วยระบุและแก้ไขข้อบกพร่องด้านความปลอดภัย 2,900 รายการในปีที่แล้ว

มือถือOct 29, 2023
click fraud protection

Google จ่ายเงินมากที่สุดเท่าที่เคยมีมาในปี 2022 ให้กับนักวิจัยด้านความปลอดภัย

ช่องโหว่เป็นสิ่งที่แน่นอนในซอฟต์แวร์ และนักพัฒนาซอฟต์แวร์ก็จะเป็นเช่นนั้น เสมอ ถือว่าซอฟต์แวร์ของพวกเขามีช่องโหว่ในรูปแบบหรือรูปแบบใดรูปแบบหนึ่งจากการโจมตีบางประเภท อย่างไรก็ตาม เป็นไปไม่ได้เสมอไปสำหรับบริษัทที่จะระบุทุกปัญหาด้วยชิ้นส่วนเดียว ซอฟต์แวร์ และบ่อยครั้งการแก้ไขจุดอ่อนอาจส่งผลให้มีจุดอ่อนอื่น ๆ เพิ่มขึ้น ที่อื่น โปรแกรมรางวัลจุดบกพร่องและรางวัลช่องโหว่มีความสำคัญเพื่อจูงใจให้นักวิจัยด้านความปลอดภัยพิจารณาดูสักนิด ใกล้ชิดกับซอฟต์แวร์มากขึ้น ในขณะเดียวกันก็ผลักดันให้ผู้ไม่ประสงค์ดีได้รับเงินทันทีและแจ้งเตือนบริษัทถึงปัญหา แทน. ปี 2022 ถือเป็นปีที่ยิ่งใหญ่ที่สุดสำหรับโปรแกรม Vulnerability Reward ของ Google

ในปี 2022 Google จ่ายเงินรางวัลมูลค่า 12 ล้านดอลลาร์ กระจายช่องโหว่ด้านความปลอดภัยมากกว่า 2,900 รายการ จำนวนเงินสูงสุดคือการจ่ายเงินในโปรแกรมช่องโหว่ของ Android ในรูปแบบการชำระเงิน 605,000 ดอลลาร์ โปรแกรมรางวัลช่องโหว่ของ Android โดยรวมได้รับเงินรางวัล 4.8 ล้านดอลลาร์ และ Android โปรแกรมรางวัล Chipset Security Reward ซึ่งเป็นโปรแกรมรางวัลสำหรับผู้ได้รับเชิญเท่านั้น ได้รับรางวัล $468,000 มากกว่า 700 รายการ รายงาน

สำหรับ Google Chrome นั้น โครงการรางวัลช่องโหว่ของ Chrome ได้รับการจ่ายเงินรวม 4 ล้านเหรียญสหรัฐ มูลค่า 3.5 ล้านดอลลาร์สหรัฐฯ มอบให้กับนักวิจัยที่ค้นพบข้อบกพร่อง 363 รายการใน Google Chrome และเกือบ 500,000 ดอลลาร์สหรัฐฯ มอบให้นักวิจัยที่พบข้อบกพร่องใน ChromeOS ในปีนี้ Chrome VRP ได้เพิ่มหมวดหมู่ใหม่ในปีที่แล้วสำหรับข้อผิดพลาดเกี่ยวกับความเสียหายของหน่วยความจำในกระบวนการที่ได้รับสิทธิพิเศษสูง เพื่อจูงใจนักวิจัยให้กำหนดเป้าหมายพื้นที่เหล่านั้น

ในฐานะผู้มีส่วนร่วมรายใหญ่ในชุมชนซอฟต์แวร์โอเพ่นซอร์ส (OSS) Google ยังได้แนะนำโปรแกรมรางวัลสำหรับช่องโหว่สำหรับโปรแกรม OSS ของตัวเองด้วย มีผู้เข้าร่วมโครงการมากกว่า 100 คนและได้รับรางวัลรวมกว่า 110,000 ดอลลาร์

หากคุณสนใจที่จะค้นหาวิธีค้นหาข้อบกพร่องและช่องโหว่ด้วยตนเอง Google ได้เปิดตัว มหาวิทยาลัยนักล่าแมลง (BHU) เมื่อปีที่แล้วอีกด้วย มีวิดีโอแนะนำ คำแนะนำในการทำรายงาน และนักวิจัยด้านความปลอดภัย เช่น LiveOverflow และ stacksmashing (เดิมเรียกว่า Ghidra Ninja) เป็นผู้มีส่วนร่วมใน BHU Google ได้พยายามอย่างต่อเนื่องในการสนับสนุนทางการเงินแก่นักวิจัยด้านความปลอดภัยที่พบข้อบกพร่องและช่องโหว่ในซอฟต์แวร์ของ Google และคุณสามารถตรวจสอบ "แฮ็ก Google" มินิซีรีส์บน YouTube เพื่อดูเบื้องหลัง