據美國科技網站The Next Web報道,在美國社交網站Facebook宣布其獎勵查找網站漏洞的項目Bug Bounty在兩年內支付了100萬美元之后,不到兩周的時間,Google就宣布其類似的項目在三年內支付了200萬美元獎金。一直以來,通過多個獎勵查找漏洞的項目,Google公司為安全研究人員提交的2000多個安全漏洞報告頒發(fā)了獎金。
Google的200萬獎金包括為Chromium VRP及Pwnium而發(fā)放的100多萬,以及為Google Web VRP發(fā)放的100多萬。也就是說,這兩個項目取得了非常大的成功。
為了慶祝此事,Google將提高Chromium項目的獎金額度。之前向查找出漏洞的研究人員發(fā)1000美元,將會考慮提高至5000美元,并對同樣一個漏洞可能獲得5倍的獎金。
“對于我們認為對用戶安全造成更大威脅的漏洞,并且研究人員提供準確的可開發(fā)性和嚴重性分析報告,我們將會發(fā)放更多的獎金。”Google說道,“我們會繼續(xù)支付之前宣布的最高獎金額度,如提供了修補程度或發(fā)現開源軟件中的關鍵部分的問題。”
許多程序員將漏洞獎勵項目視作是對現有內部安全程序的一種極好的補充,能激勵黑客不僅發(fā)現問題,還能將這些問題以適當的方式提供效相關的公司,而不是利用這些漏洞或是為其他的目的而出售。
之前就有很多的例子。Mozilla和Facebook提供了數目可觀的漏洞查找獎金計劃,而微軟最近也加入其中。
