У 2022 році компанія Google виплатила найбільше грошей дослідникам безпеки.
У програмному забезпеченні є вразливі місця, і розробники будуть завжди припустити, що їхнє програмне забезпечення вразливе певним чином, формою чи формою до певного роду атак. Однак компаніям не завжди вдається визначити кожну проблему окремо програмне забезпечення, і часто виправлення вразливості може призвести до появи іншої вразливості в іншому місці. Винагороди за помилки та програми винагороди за вразливі місця важливі для того, щоб стимулювати дослідників безпеки трохи придивитися ближче до програмного забезпечення, а також спонукає потенційних зловмисників отримати негайну виплату та попередити компанію про проблему замість цього. 2022 рік став найбільшим роком для програм винагород Google за вразливі місця.
У 2022 році Google виплатила 12 мільйонів доларів винагороди, розподілених за понад 2900 вразливостей безпеки. Найбільшою з них була виплата в програмі Android Vulnerability Program у вигляді платежу в розмірі 605 000 доларів США. Загалом за програму винагороди за вразливість Android було виплачено 4,8 мільйона доларів у вигляді винагороди, а Android Програма винагороди Chipset Security Reward Program, яка діє лише за запрошеннями, винагородила 468 000 доларів США за понад 700 звіти.
Що стосується Google Chrome, програма винагороди Chrome Vulnerability Reward Program отримала 4 мільйони доларів у вигляді виплат. З них 3,5 мільйона доларів пішли на винагороду дослідників, які виявили 363 помилки в Google Chrome, і майже 500 000 доларів США пішли на винагороду дослідників, які виявили помилки в ChromeOS. Цього року Chrome VRP додав нову категорію минулого року для помилок, пов’язаних із пошкодженням пам’яті в дуже привілейованих процесах, щоб спонукати дослідників зосереджуватися на цих областях.
Будучи великим учасником спільноти програмного забезпечення з відкритим кодом (OSS), Google також запровадив програму винагороди за вразливі місця для своїх власних програм OSS. Понад 100 людей взяли участь у проекті та отримали винагороди на загальну суму понад 110 000 доларів США.
Якщо вам цікаво з’ясувати, як самостійно знаходити помилки та вразливості, Google запустив Університет мисливців на помилок (BHU) минулого року також. Існують навчальні відео, посібники зі створення звітів, а дослідники безпеки, такі як LiveOverflow і stacksmashing (раніше Ghidra Ninja), є співавторами BHU. Google докладає постійних зусиль для фінансової підтримки дослідників безпеки, які знаходять помилки та вразливості в програмному забезпеченні Google, і ви можете переглянути "Злом Google" міні-серіалу на YouTube, щоб зазирнути за лаштунки.