Google大幅增加漏洞獎金 最高達15.15萬美元
編譯/Cynthia
Google宣布於2024年7月11日開始,其漏洞獎金計劃(Vulnerability Reward Program,VRP)中獎金將提高五倍,單一漏洞的最高獎金增至15.15萬美元(新台幣約493萬元)。這項計畫主要在吸引更多安全研究人員參與報告漏洞,提升Google系統和應用程序的安全性,這不僅顯示Google對安全的重視,也為安全研究人員提供更具吸引力的報酬。
獎金調整原因
隨著系統安全性提升,發現漏洞變得更困難。Google表示,隨著系統越來越安全,找到漏洞需要更多的時間和精力。為了鼓勵更多優質的漏洞報告,Google決定大幅提高獎金。這項措施確保安全研究人員有足夠的動力和資源投入漏洞發現和報告,進一步保障Google產品的安全性。
更多新聞:發放1000萬美元漏洞獎金 Google促進全球網路安全
新的獎金結構
新的獎金結構將單一漏洞的最高獎金設為15.15萬美元(新台幣約493萬元),這由10.10萬美元(新台幣約329萬元)的基本獎金和1.5倍的報告質量附加獎金組成。這樣的設計不僅獎勵發現漏洞的人,還特別獎勵那些提供詳細和高質量報告的研究人員。新結構僅適用於世界標準時間2024年7月11日起提交的漏洞報告,確保新政策的透明和公平。
增加支付方式
為了方便參與者,Google增加獎金的支付方式。現在研究人員可以選擇通過Bugcrowd接收獎金,這提供更多支付選項,使研究人員能根據需求選擇最合適的方式。這不僅提升研究人員的參與度,還增加他們的報酬獲取途徑,進一步鼓勵他們積極參與漏洞報告。
獎金規則更新
除了提高獎金,Google還更新漏洞獎金計劃規則,提供更詳細的獎金調整和支付結構資。近期,Google推出kvmCTF計劃,專注於改善KVM虛擬機監控程式的安全性,提供高達25萬美元(新台幣約814萬元)的獎金,用於報告虛擬機可達的KVM漏洞。此外,Google在2023年將Chrome沙盒逃逸漏洞的獎金提高了三倍,有效期至2023年12月1日,這些措施進一步強化Google的安全防護。
獎金計劃歷史
自2010年啟動以來,Google的漏洞獎金計劃已支付超過5,000萬美元(新台幣約16.27億元)獎金,報告超過1.5萬個漏洞。這計劃的成功不僅在於豐厚獎金,還體現Google對安全研究社群的重視和支持。Google通過不斷更新和改進漏洞獎金計劃,鼓勵更多安全研究人員參與,共同提升互聯網安全性,展現Google對安全的承諾。
資料來源:BleepingComputer
瀏覽 330 次