2月13日消息,据外媒报道,在对2021年漏洞奖励计划(VRP)进行的年度审查中,搜索巨头谷歌宣布,该公司去年共向安全研究人员发放了超过870万美元悬赏,以奖励他们谷歌产品中报告的数千个漏洞。
这个数字高于谷歌在2020年支付给安全研究人员的670万美元赏金。其中,300万美元针对安卓漏洞,330万美元针对Chrome浏览器漏洞,50万美元针对Google Play Store漏洞,31万美元针对Google Cloud漏洞。
谷歌还表示,2021年总共有696名研究人员获得赏金,其中数额最高为15.7万美元,奖励其发现安卓漏洞链。不过,没有人获得谷歌在2019年首次设定的150万美元悬赏,该奖授予任何成功侵入谷歌Pixel智能手机附带安全芯片Titan M的人。
以下为谷歌博客文章全文:
2021年是我们漏洞奖励计划(VRP)的又一个创纪录年份。在整个2021年,我们与安全研究人员社区合作,识别和修复数千个漏洞,帮助确保我们的用户和互联网的安全。
多亏了这些才华横溢的研究人员,谷歌各项漏洞项目奖励金额持续增长。我们很高兴地报告,在2021年,我们发放了破纪录的870万美元漏洞奖励,研究人员将超过30万美元的奖励捐赠给了他们自主选择的慈善机构。
我们还在2021年推出了bughunters.google.com,这是个致力于确保谷歌产品和互联网安全的公共研究门户网站。这个新平台将我们所有的VRP(Google、Android、Abuse、Chrome和Google Play)更紧密地联系起来,并提供了统一的接收表单,使安全漏洞提交变得比以往任何时候都更容易。我们对新的Bug Hunters门户提供的一切都感到兴奋,包括:
——通过游戏化、每个国家列出排行榜、特定漏洞奖励以及发放徽章等等,提供更多的互动机会并促进良性竞争!
——打造更实用、更美观的排行榜。我们知道许多人正在利用自己在VRP中的成就来找工作(我们也正在招聘!)。我们希望这是个有用的资源。
——更加强调学习:漏洞猎人可以通过我们新的Bug Hunter University提供的内容来提高他们的技能。
——简化出版流程:我们知道知识共享给我们社区带来的价值,这就是我们想让你们更容易发布漏洞报告的原因。
——我们现在提供赠品!在Twitter和Tag@GoogleVRP上分享这篇博文的前20个人将获得奖券,可以在他们的DM中获得礼品券。
与往年一样,我们正在分享我们所有项目的2021年统计数据,细节如下:
1、安卓系统
安卓VRP在2021年的奖金额度近300万美元,比2020年翻了一番,同时也诞生了安卓VRP历史上最高的悬赏纪录:有人在安卓中发现漏洞链从而获得了15.7万美元奖金!
针对我们Pixel设备中使用的Titan-M安全芯片,我们制定了行业领先的150万美元漏洞悬赏,但目前仍无人认领。
我们还推出了安卓芯片组安全奖励计划(ACSRP),这是谷歌与某些安卓芯片组制造商合作提供的漏洞奖励计划。这是个私人的、仅限受邀参加的项目,是对投入时间和精力帮助使安卓设备更安全的研究人员提供的奖励和认可。2021年,ACSRP为220多份有效和独特的安全报告支付了29.6万美元奖金。
2、Chrome浏览器
今年,Chrome VRP也创造了不少新纪录,115名Chrome研究人员因2021年提交的333份安全漏洞报告而获得奖励,总金额达330万美元。这些贡献不仅帮助我们改进了Chrome,而且通过增强所有基于Chromium的浏览器安全性,也提高了整个网络的安全性。
在330万美元奖励中,310万美元针对Chrome浏览器安全漏洞,250500美元针对Chrome OS漏洞,其中4.5万美元针对个人Chrome OS安全漏洞,2.7万美元是针对个人Chrome浏览器安全漏洞。
3、Google Play
Google Play向60多名安全研究人员支付了55万美元奖励。
Google Play安全奖励计划还发布了安卓应用黑客研讨会的内容,并发表了一篇博客,介绍了他们为支持下一代安卓应用安全研究人员所做的工作。
4、KCTF VRP
去年11月,我们扩大了针对我们KCTF集群攻击的奖励金额,从5000-10000美元增加到31337-50337美元。在过去的3个月里,我们很高兴有几位参赛者获得了175685美元的奖励。我们还将增加奖励的时间表延长到2月14日(从1月31日开始),这应该会给更多人更多时间来发现漏洞。
5、GCP VRP
为了鼓励安全研究人员关注谷歌云平台,我们在2019年发起GCP VRP大奖。2021年3月,我们宣布了2020年该奖项的获奖者,并颁发了313337美元的奖金。去年,我们在Google Cloud平台上也看到了许多令人惊叹的研究,敬请关注2021年的获胜者!
6、研究补助金
六年前,Google VRP启动了一项实验性的漏洞研究资助计划,以鼓励经验丰富的安全研究人员对谷歌产品和服务的安全性进行详细而广泛的研究。即使没有发现漏洞,他们也可以获得奖励。六年后,我们很高兴地宣布,在2021年,我们向世界各地的120多名安全研究人员提供了20多万美元补助。
7、Project Zero
谷歌还发布了Project Zero的统计数据,这是该公司旗下漏洞猎人团队,他们也向其他公司报告发现漏洞的情况。谷歌Project Zero团队表示,他们发现修补安全漏洞所需的时间有所改善,通常需要52天,而三年前为80天。
未来展望
随着新的Bug Hunters门户网站的推出,我们计划继续改进我们的平台,并听取安全研究人员关于如何改进我们的平台和Bug Hunter University的意见。(小小)
凡注有"环球传媒网"或电头为"环球传媒网"的稿件,均为环球传媒网独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"环球传媒网",并保留"环球传媒网"的电头。