Google в 2022 году выплатила исследователям в области безопасности больше всего денег, которые у нее когда-либо были.
Уязвимости в программном обеспечении неизбежны, и разработчики всегда предположить, что их программное обеспечение в той или иной форме уязвимо для какой-либо атаки. Тем не менее, компании не всегда могут выявить каждую проблему с частью программного обеспечения, и часто исправление уязвимости может привести к появлению другой уязвимости в другом месте. Награды за обнаружение ошибок и программы поощрения уязвимостей важны для того, чтобы стимулировать исследователей в области безопасности более внимательно изучить программное обеспечение, а также подтолкнуть потенциальных злоумышленников к немедленной выплате и предупреждению компании о проблеме. 2022 год был самым большим годом для Googleпрограмм вознаграждения за уязвимости.
В 2022 году Google выплатила 12 миллионов долларов в виде наград, распределенных по более чем 2900 уязвимостям безопасности. Самой высокой из них была выплата в рамках программы Android Vulnerability Program в виде платежа в размере 605 000 долларов США. В рамках программы вознаграждения за уязвимости Android в целом было выплачено 4,8 миллиона долларов в виде вознаграждений, а в рамках программы вознаграждения за безопасность набора микросхем Android, предназначенной только для приглашенных, было вознаграждено 468 000 долларов США за более чем 700 отчетов.
Что касается Google Chrome, программа вознаграждения за уязвимости Chrome, в общей сложности выплатила 4 миллиона долларов. 3,5 миллиона долларов из этой суммы пошли на вознаграждение исследователей, обнаруживших 363 ошибки в Google Chrome, и почти 500 000 долларов из этой суммы пошли на исследователей, которые нашли ошибки в ChromeOS. В этом году в Chrome VRP была добавлена новая категория в прошлом году для ошибок повреждения памяти в процессах с высоким уровнем привилегий, чтобы стимулировать исследователей к работе в этих областях.
Как крупный участник сообщества программного обеспечения с открытым исходным кодом (OSS), Google также представила программу вознаграждения за уязвимости для своих собственных программ OSS. В проекте приняли участие более 100 человек, которые получили вознаграждение на общую сумму более 110 000 долларов США.
Если вам интересно узнать, как самостоятельно находить ошибки и уязвимости, Google также запустила Университет охотников за ошибками (BHU) в прошлом году. Существуют обучающие видеоролики, руководства по составлению отчетов, а исследователи безопасности, такие как LiveOverflow и stacksmashing (ранее Ghidra Ninja), вносят свой вклад в BHU. Google прилагает постоянные усилия для финансовой поддержки исследователей безопасности, которые находят ошибки и уязвимости в Google программное обеспечение, и вы можете проверить “Взлом Google”мини-сериал на YouTube, чтобы заглянуть за кулисы.
