據(jù)美國科技網(wǎng)站The Next Web報道,在美國社交網(wǎng)站Facebook宣布其獎勵查找網(wǎng)站漏洞的項目Bug Bounty在兩年內(nèi)支付了100萬美元之后,不到兩周的時間,Google就宣布其類似的項目在三年內(nèi)支付了200萬美元獎金。一直以來,通過多個獎勵查找漏洞的項目,Google公司為安全研究人員提交的2000多個安全漏洞報告頒發(fā)了獎金。
Google的200萬獎金包括為Chromium VRP及Pwnium而發(fā)放的100多萬,以及為Google Web VRP發(fā)放的100多萬。也就是說,這兩個項目取得了非常大的成功。
為了慶祝此事,Google將提高Chromium項目的獎金額度。之前向查找出漏洞的研究人員發(fā)1000美元,將會考慮提高至5000美元,并對同樣一個漏洞可能獲得5倍的獎金。
“對于我們認(rèn)為對用戶安全造成更大威脅的漏洞,并且研究人員提供準(zhǔn)確的可開發(fā)性和嚴(yán)重性分析報告,我們將會發(fā)放更多的獎金。”Google說道,“我們會繼續(xù)支付之前宣布的最高獎金額度,如提供了修補(bǔ)程度或發(fā)現(xiàn)開源軟件中的關(guān)鍵部分的問題。”
許多程序員將漏洞獎勵項目視作是對現(xiàn)有內(nèi)部安全程序的一種極好的補(bǔ)充,能激勵黑客不僅發(fā)現(xiàn)問題,還能將這些問題以適當(dāng)?shù)姆绞教峁┬嚓P(guān)的公司,而不是利用這些漏洞或是為其他的目的而出售。
之前就有很多的例子。Mozilla和Facebook提供了數(shù)目可觀的漏洞查找獎金計劃,而微軟最近也加入其中。
