谷歌2021年向網(wǎng)絡(luò)安全研究人員發(fā)放870萬(wàn)美元漏洞懸賞
據(jù)外媒報(bào)道,在對(duì)2021年漏洞獎(jiǎng)勵(lì)計(jì)劃(VRP)進(jìn)行的年度審查中,搜索巨頭谷歌宣布,該公司去年共向安全研究人員發(fā)放了超過(guò)870萬(wàn)美元懸賞,以獎(jiǎng)勵(lì)他們谷歌產(chǎn)品中報(bào)告的數(shù)千個(gè)漏洞。
這個(gè)數(shù)字高于谷歌在2020年支付給安全研究人員的670萬(wàn)美元賞金。其中,300萬(wàn)美元針對(duì)安卓漏洞,330萬(wàn)美元針對(duì)Chrome瀏覽器漏洞,50萬(wàn)美元針對(duì)Google Play Store漏洞,31萬(wàn)美元針對(duì)Google Cloud漏洞。
谷歌還表示,2021年總共有696名研究人員獲得賞金,其中數(shù)額最高為15.7萬(wàn)美元,獎(jiǎng)勵(lì)其發(fā)現(xiàn)安卓漏洞鏈。不過(guò),沒(méi)有人獲得谷歌在2019年首次設(shè)定的150萬(wàn)美元懸賞,該獎(jiǎng)授予任何成功侵入谷歌Pixel智能手機(jī)附帶安全芯片Titan M的人。
以下為谷歌博客文章全文:
2021年是我們漏洞獎(jiǎng)勵(lì)計(jì)劃(VRP)的又一個(gè)創(chuàng)紀(jì)錄年份。在整個(gè)2021年,我們與安全研究人員社區(qū)合作,識(shí)別和修復(fù)數(shù)千個(gè)漏洞,幫助確保我們的用戶和互聯(lián)網(wǎng)的安全。
多虧了這些才華橫溢的研究人員,谷歌各項(xiàng)漏洞項(xiàng)目獎(jiǎng)勵(lì)金額持續(xù)增長(zhǎng)。我們很高興地報(bào)告,在2021年,我們發(fā)放了破紀(jì)錄的870萬(wàn)美元漏洞獎(jiǎng)勵(lì),研究人員將超過(guò)30萬(wàn)美元的獎(jiǎng)勵(lì)捐贈(zèng)給了他們自主選擇的慈善機(jī)構(gòu)。
我們還在2021年推出了bughunters.google.com,這是個(gè)致力于確保谷歌產(chǎn)品和互聯(lián)網(wǎng)安全的公共研究門戶網(wǎng)站。這個(gè)新平臺(tái)將我們所有的VRP(Google、Android、Abuse、Chrome和Google Play)更緊密地聯(lián)系起來(lái),并提供了統(tǒng)一的接收表單,使安全漏洞提交變得比以往任何時(shí)候都更容易。我們對(duì)新的Bug Hunters門戶提供的一切都感到興奮,包括:
——通過(guò)游戲化、每個(gè)國(guó)家列出排行榜、特定漏洞獎(jiǎng)勵(lì)以及發(fā)放徽章等等,提供更多的互動(dòng)機(jī)會(huì)并促進(jìn)良性競(jìng)爭(zhēng)!
——打造更實(shí)用、更美觀的排行榜。我們知道許多人正在利用自己在VRP中的成就來(lái)找工作(我們也正在招聘!)。我們希望這是個(gè)有用的資源。
——更加強(qiáng)調(diào)學(xué)習(xí):漏洞獵人可以通過(guò)我們新的Bug Hunter University提供的內(nèi)容來(lái)提高他們的技能。
——簡(jiǎn)化出版流程:我們知道知識(shí)共享給我們社區(qū)帶來(lái)的價(jià)值,這就是我們想讓你們更容易發(fā)布漏洞報(bào)告的原因。
——我們現(xiàn)在提供贈(zèng)品!在Twitter和Tag@GoogleVRP上分享這篇博文的前20個(gè)人將獲得獎(jiǎng)券,可以在他們的DM中獲得禮品券。
與往年一樣,我們正在分享我們所有項(xiàng)目的2021年統(tǒng)計(jì)數(shù)據(jù),細(xì)節(jié)如下:
1、安卓系統(tǒng)
安卓VRP在2021年的獎(jiǎng)金額度近300萬(wàn)美元,比2020年翻了一番,同時(shí)也誕生了安卓VRP歷史上最高的懸賞紀(jì)錄:有人在安卓中發(fā)現(xiàn)漏洞鏈從而獲得了15.7萬(wàn)美元獎(jiǎng)金!
針對(duì)我們Pixel設(shè)備中使用的Titan-M安全芯片,我們制定了行業(yè)領(lǐng)先的150萬(wàn)美元漏洞懸賞,但目前仍無(wú)人認(rèn)領(lǐng)。
我們還推出了安卓芯片組安全獎(jiǎng)勵(lì)計(jì)劃(ACSRP),這是谷歌與某些安卓芯片組制造商合作提供的漏洞獎(jiǎng)勵(lì)計(jì)劃。這是個(gè)私人的、僅限受邀參加的項(xiàng)目,是對(duì)投入時(shí)間和精力幫助使安卓設(shè)備更安全的研究人員提供的獎(jiǎng)勵(lì)和認(rèn)可。2021年,ACSRP為220多份有效和獨(dú)特的安全報(bào)告支付了29.6萬(wàn)美元獎(jiǎng)金。
2、Chrome瀏覽器
今年,Chrome VRP也創(chuàng)造了不少新紀(jì)錄,115名Chrome研究人員因2021年提交的333份安全漏洞報(bào)告而獲得獎(jiǎng)勵(lì),總金額達(dá)330萬(wàn)美元。這些貢獻(xiàn)不僅幫助我們改進(jìn)了Chrome,而且通過(guò)增強(qiáng)所有基于Chromium的瀏覽器安全性,也提高了整個(gè)網(wǎng)絡(luò)的安全性。
在330萬(wàn)美元獎(jiǎng)勵(lì)中,310萬(wàn)美元針對(duì)Chrome瀏覽器安全漏洞,250500美元針對(duì)Chrome OS漏洞,其中4.5萬(wàn)美元針對(duì)個(gè)人Chrome OS安全漏洞,2.7萬(wàn)美元是針對(duì)個(gè)人Chrome瀏覽器安全漏洞。
3、Google Play
Google Play向60多名安全研究人員支付了55萬(wàn)美元獎(jiǎng)勵(lì)。
Google Play安全獎(jiǎng)勵(lì)計(jì)劃還發(fā)布了安卓應(yīng)用黑客研討會(huì)的內(nèi)容,并發(fā)表了一篇博客,介紹了他們?yōu)橹С窒乱淮沧繎?yīng)用安全研究人員所做的工作。
4、KCTF VRP
去年11月,我們擴(kuò)大了針對(duì)我們KCTF集群攻擊的獎(jiǎng)勵(lì)金額,從5000-10000美元增加到31337-50337美元。在過(guò)去的3個(gè)月里,我們很高興有幾位參賽者獲得了175685美元的獎(jiǎng)勵(lì)。我們還將增加獎(jiǎng)勵(lì)的時(shí)間表延長(zhǎng)到2月14日(從1月31日開(kāi)始),這應(yīng)該會(huì)給更多人更多時(shí)間來(lái)發(fā)現(xiàn)漏洞。
5、GCP VRP
為了鼓勵(lì)安全研究人員關(guān)注谷歌云平臺(tái),我們?cè)?019年發(fā)起GCP VRP大獎(jiǎng)。2021年3月,我們宣布了2020年該獎(jiǎng)項(xiàng)的獲獎(jiǎng)?wù)撸㈩C發(fā)了313337美元的獎(jiǎng)金。去年,我們?cè)贕oogle Cloud平臺(tái)上也看到了許多令人驚嘆的研究,敬請(qǐng)關(guān)注2021年的獲勝者!
6、研究補(bǔ)助金
六年前,Google VRP啟動(dòng)了一項(xiàng)實(shí)驗(yàn)性的漏洞研究資助計(jì)劃,以鼓勵(lì)經(jīng)驗(yàn)豐富的安全研究人員對(duì)谷歌產(chǎn)品和服務(wù)的安全性進(jìn)行詳細(xì)而廣泛的研究。即使沒(méi)有發(fā)現(xiàn)漏洞,他們也可以獲得獎(jiǎng)勵(lì)。六年后,我們很高興地宣布,在2021年,我們向世界各地的120多名安全研究人員提供了20多萬(wàn)美元補(bǔ)助。
7、Project Zero
谷歌還發(fā)布了Project Zero的統(tǒng)計(jì)數(shù)據(jù),這是該公司旗下漏洞獵人團(tuán)隊(duì),他們也向其他公司報(bào)告發(fā)現(xiàn)漏洞的情況。谷歌Project Zero團(tuán)隊(duì)表示,他們發(fā)現(xiàn)修補(bǔ)安全漏洞所需的時(shí)間有所改善,通常需要52天,而三年前為80天。
未來(lái)展望
隨著新的Bug Hunters門戶網(wǎng)站的推出,我們計(jì)劃繼續(xù)改進(jìn)我們的平臺(tái),并聽(tīng)取安全研究人員關(guān)于如何改進(jìn)我們的平臺(tái)和Bug Hunter University的意見(jiàn)。【責(zé)任編輯/常青】
來(lái)源:網(wǎng)易科技
IT時(shí)代網(wǎng)(關(guān)注微信公眾號(hào)ITtime2000,定時(shí)推送,互動(dòng)有福利驚喜)所有原創(chuàng)文章版權(quán)所有,未經(jīng)授權(quán),轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年,直通硅谷,專注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來(lái)自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個(gè)人。創(chuàng)客100創(chuàng)投基金對(duì)IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。
熱門文章
精彩評(píng)論
小何華為現(xiàn)在牛的不只是設(shè)備商了,,華為的手機(jī)現(xiàn)在也是全球銷量不錯(cuò),國(guó)內(nèi)也算是老大了,之前用小米,,現(xiàn)在都改華為了。。產(chǎn)品確實(shí)不錯(cuò)。來(lái)自: 美國(guó)如此忌憚華為 顯示出對(duì)中國(guó)崛起的深層憂慮--IT時(shí)代網(wǎng)
- 小何三星手機(jī)在中國(guó)還有市場(chǎng)嗎?看看現(xiàn)在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場(chǎng)基本沒(méi)有了。。
來(lái)自: 彭博社:六大中國(guó)手機(jī)品牌在全球挑戰(zhàn)三星蘋果霸主地位--IT時(shí)代網(wǎng)
- 小何滴滴打車現(xiàn)在也沒(méi)有之前那么火了,,補(bǔ)貼也少了。。
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。
來(lái)自: 少年頭條對(duì)壘中年騰訊:解局兩代互聯(lián)網(wǎng)公司商業(yè)之戰(zhàn)--IT時(shí)代網(wǎng)