迄今为止,安全研究人员已发现了700多个Chrome浏览器bug,谷歌向他们发放的bug赏金已超过125万美元,但谷歌认为,这还不够。
谷歌于当地时间本周二在一篇博文中宣布,谷歌已将发现Chrome浏览器bug的最高赏金从5000美元提升到了15000美元。而自2010年谷歌推出其Chrome赏金计划后,其最低赏金额从未变过,仍保持在500美元。
如今,已有至少十年历史的bug赏金计划已成为各科技公司的一种支付方式,以此来为那些对该公司的安全工作做出贡献,但并非该公司专职雇员的安全研究人员支付奖励。这些赏金计划不仅有助于公司尽早发现其安全漏洞,而且还能有效阻止这些漏洞被拿到黑市上出售。
Google在2010年发布Chrome赏金计划初期曾受到过一些研究人员的指责,他们认为谷歌支付的赏金太少。但从那以后,当研究人员提交bug进行审查,发现该漏洞很难被找到后,谷歌会以超过其最高赏金限额的赏金奖励该研究人员,这为谷歌赢得了很好的声誉。例如在上个月,一位研究人员发现了一系列可绕过Chrome浏览器防护Sandbox的漏洞,并因此获得了谷歌给予的3万美元奖励。
谷歌在周二宣布的消息中有一些改变,其中之一便是其bug奖金支付制度的更加透明化。谷歌已经划定出研究人员发现不同类型的bug后分别可获得多少奖励。
另一项改变为,尽管研究人员在提交bug时并未同时提交漏洞利用,但谷歌将为他们提交的带有漏洞利用的bug支付更多赏金。谷歌希望以此来减少bug的重复,同时方便该公司更快修补漏洞。
最后,这些研究人员及其所获赏金将成为谷歌Chrome bug名人堂的一部分。谷歌的赏金支付变化可追溯回7月1日,因此在不久的将来,一些安全研究人员或将会获得一些额外的赏金。
好文章,需要你的鼓励