Google 除了以廣告為主要營利來源,旗下也有著許多各種軟體部門。最為人熟知就包含 Android 與 Chrome 這兩個。除了企業內部為這些專案抓漏洞外,也在 2010 年 11 月啟動 漏洞獎勵計畫 ,給予發現漏洞者一筆不錯的獎金。最近他們公布了去年一年所發出去的獎金額度。根據 Google 提供的資訊顯示,他們向 461 位不同的研究人員發放了 650 萬餘美元的獎金,而這個金額更是超越了 2018 年的紀錄,甚至幾乎達到雙倍:
▲Google 今年抓漏獎金給得大方,比去年還多一倍(圖片來源)
Google 的 漏洞獎勵計畫 (Vulnerability Reward Program,簡稱 VRP)每年都會做出該年度的報告。VRP 通常又細分為許多專案,例如 Google VRP、Android VRP 等。每個專案都分別對應一個軟體或作業系統。研究者提出漏洞給 Google 後,Google 會針對該漏洞的影響程度來評估獎金額度。這些獎金就是漏洞獎勵計畫的核心。
在 Google 最近釋出的年度漏洞獎勵報告中提到,Chrome VRP 在這一年將最高基礎獎勵金額的 5,000 美元提升三倍到 15,000 美元,高品質報告的最佳獎勵金額從 15,000 美元提升到 30,000 美元,因此獎勵支出有一定的提升:
▲重賞之下,Google 也獲得大批開發者貢獻抓漏(圖片來源)
其他項目如 Android Security Reward、 Google Play Security Reward Program 也有提升獎勵的部分。加上這一年內也有更多開發者參與了回報漏洞,發放的獎金自然也比往年增加更多。特定的 Android 開發者預覽版的抓漏獎金更是額外多出 50 %,這也讓今年靠抓漏而發了小財的人變得更多些:
▲不知道獨得 20 萬美元是什麼概念,也許抓到很大條的問題(圖片來源)
根據 Google 提供的資訊顯示,2019 這一年共有 461 位開發者領到抓漏獎金,總金額達到 650 多萬美元,這個金額也比起 2018 年 的 340 萬美元還多將近一倍。值得一提的是,2019 年最大的單筆獎勵高達 201,000 美元,比起 2018 年最高單筆獎金 41,000 美元還多出不少。Google 並未提及這筆錢是因為哪個漏洞所付出,但想必應該是影響層面極大的問題。
消息來源:VentureBeat