湛江信息港

当前位置:

谷歌Bug赏金计划六年已发放奖金600余

2019/05/15 来源:湛江信息港

导读

谷歌(微博)近日宣称,从2010年推出Bug赏金计划以来,它已发放了逾600万美元奖金。仅在去年1年中,300多名安全研究员总共发现了750

谷歌(微博)近日宣称,从2010年推出Bug赏金计划以来,它已发放了逾600万美元奖金。仅在去年1年中,300多名安全研究员总共发现了750多个漏洞,谷歌给他们发送了逾200万美元奖金。

Bug赏金计划是对谷歌现有内部安全计划的有益补充。它可以鼓励个人和黑客群体发现谷歌服务中的漏洞,并以恰当的方式揭露这些漏洞,而不是利用这些漏洞搞破坏或销售给第三方牟利。

自从推出以来,谷歌的Bug赏金计划一直在稳步发展。该公司每一年发现的漏洞越来越多,发放的奖金也越来越多。谷歌的安全团队在不断地拓展该计划的奖励范围,纳入了愈来愈多的产品,并提供了更多的嘉奖。

在2015年1月,谷歌的Bug赏金计划纳入了Android和iOS移动应用,并开始提供安全资助(即在安全研究员提交漏洞前就向其支付一笔费用)。例如,在得到谷歌的资助后,安全研究员卡米-西斯塔姆林(Kamil Histamullin)发现了YouTube创作者工作室(Creator Studio)有个安全漏洞,任何人均可以利用这个漏洞删除YouTube站上的任何视频,他们只需要修改其址上的一个参数便可。这个漏洞后来被消除了,西斯塔姆林也因此获得了5000美元的奖金,这笔奖金还不包括他开始取得的研究资助。

然后在2015年6月,谷歌开始将Android装备纳入其Bug赏金计划。到去年底,谷歌已向发现Android设备漏洞的研究人员支付20万美元奖金,其中包括该公司的一笔奖金:3.75万美元。

谷歌还分享了2015年发生的两则有趣的故事。

1. 在2015年,研究成果丰富的安全研究员托马斯-博雅斯基(Tomasz Bojarski)发现了谷歌服务中的70个漏洞。他乃至发现谷歌让安全研究员们提交安全漏洞的络表格中也存在安全漏洞。

2. 安全研究员桑美韦德(Sanmay Ved)发现谷歌域名尚未注册,因而花费12美元成功买下了这个域名。谷歌原计划给他嘉奖6006.13美元(这个数字看起来与谷歌的拼写很像),但当该公司发现韦德准备将这笔奖金捐给慈善机构时,它将奖励金额提高了1倍。

Facebook、谷歌和微软均高调推出了Bug赏金计划。一些较小的公司也开始推出这样的计划。其实,在安全问题方面,的做法是:我们能及时发现和解决安全漏洞,而不是等到这些漏洞变成大问题后再行解决。给安全研究人员发放的奖励金额,相对于安全灾害产生后的补救成本来讲,简直微不足道。

月经量多吃点什么好
月经量多可以吃什么调理
月经量多能吃什么
标签