受到现有漏洞赏金计划成功的鼓舞,Google发起了一项计划,以奖励对发现其产品中的安全漏洞感兴趣的研究人员。Google的新Vulnerability Research Grants计划将向有兴趣破解特定Google产品和服务的研究人员提供最高3,133.70美元的前期现金奖励。与公司当前的漏洞赏金计划不同,新计划将奖励漏洞研究人员,无论他们是否发现漏洞。
同时,在补助金计划下确实发现了错误的研究人员也将有资格根据Google当前的安全奖励计划获得赏金。
Google安全工程师Eduardo Vela Nava 在博客文章中写道,实验性赠款计划的目的是给研究人员一些经济上的激励,使其继续利用Google的技术,而不必担心浪费时间。
Google当前的漏洞赏金计划以及公司自身的内部努力,使得漏洞研究人员越来越难以发现其产品中的错误。他说:“当然,这是个好消息,但是当研究人员投入时间并努力寻找问题时,这也会令人沮丧。”
一项计划说明指出,新的研究资助计划针对的是Google当前的安全奖励计划中的顶级漏洞研究人员以及“受邀的专家” 。可以对新推出的Google产品和服务以及公司认为敏感的产品(例如Google搜索,Google电子钱包,Google代码托管,Google App Engine和Google Play)进行安全性研究。
对于旨在提高Google安全补丁程序有效性的任何工作,尤其是那些影响多种产品的补丁程序,也可以使用补助金。赠款金额从$ 500到$ 3,133.70不等。
这项赠款计划基于Google在2010年发起的广泛的漏洞奖励计划(VRP),以加强产品安全性。该计划奖励那些发现某些漏洞的安全研究人员和公司,其中包括Google产品中的跨站点脚本,跨站点伪造和服务器端代码执行漏洞。
到目前为止,Google已向在VRP下发现其产品和服务存在错误的研究人员支付了近400万美元。仅在2014年,Google就向大约200名研究人员支付了150万美元,他们报告了其产品中总共近500个安全问题。
Google是目前拥有针对漏洞猎人奖励计划的几家公司之一。其他拥有类似程序的公司包括Microsoft,Facebook和Mozilla。分析人士认为,这样的程序可以帮助技术供应商发现其产品中的缺陷,而其成本仅为其自身成本的一小部分。
位于密歇根州伯明翰的安全咨询机构IT-Harvest的首席研究分析师Richard Stiennon说:“我认为,为发现漏洞所做的任何投资都是物有所值的。”
Stiennon在电子邮件中说:“像在这个新的Google程序中一样,预先付款比纯粹的漏洞赏金更诚实。” “ Bug赏金比较便宜,因为可能有数百人免费工作,以期发现一个漏洞,而付款人只付钱给成功的人。” Stiennon说,对于像Google这样的公司来说,下一步就是对源代码进行同样的审查。
马萨诸塞州弗雷明汉市IDC的分析师Pete Lindstrom表示,厂商通过漏洞赏金计划发现产品缺陷的努力通常是一件好事。
Lindstrom说:“公司为促进其安全软件开发所做的任何事情都是一个好主意。” 他说:“似乎谷歌是“多眼理论”的支持者。” 他说,这项赠款计划可使人们对试图发现Google产品和服务中的安全漏洞感到更加兴奋。
Lindstrom说,但是Google也需要更加专注于发现其自身产品中的安全性问题。Lindstrom指出,在最近几个月中,Google似乎在发现Microsoft产品中的漏洞上付出了相当大的努力,指的是Google在Microsoft修复它之前公开披露了Windows 8.1中的零日漏洞。他说,除了这样做,公司还应该首先专注于解决自己的问题。他说:“玻璃屋里的人不应该扔石头。”
他说:“如果知道自己有漏洞,为什么要认为应该寻找别人的漏洞呢?”
