据美国科技网站The Next Web报道,在美国社交网站Facebook宣布其奖励查找网站漏洞的项目Bug Bounty在两年内支付了100万美元之后,不到两周的时间,Google就宣布其类似的项目在三年内支付了200万美元奖金。一直以来,通过多个奖励查找漏洞的项目,Google公司为安全研究人员提交的2000多个安全漏洞报告颁发了奖金。
Google的200万奖金包括为Chromium VRP及Pwnium而发放的100多万,以及为Google Web VRP发放的100多万。也就是说,这两个项目取得了非常大的成功。
为了庆祝此事,Google将提高Chromium项目的奖金额度。之前向查找出漏洞的研究人员发1000美元,将会考虑提高至5000美元,并对同样一个漏洞可能获得5倍的奖金。
“对于我们认为对用户安全造成更大威胁的漏洞,并且研究人员提供准确的可开发性和严重性分析报告,我们将会发放更多的奖金。”Google说道,“我们会继续支付之前宣布的最高奖金额度,如提供了修补程度或发现开源软件中的关键部分的问题。”
许多程序员将漏洞奖励项目视作是对现有内部安全程序的一种极好的补充,能激励黑客不仅发现问题,还能将这些问题以适当的方式提供效相关的公司,而不是利用这些漏洞或是为其他的目的而出售。
之前就有很多的例子。Mozilla和Facebook提供了数目可观的漏洞查找奖金计划,而微软最近也加入其中。