谷歌近日宣布,在过去三年里,该公司利用多个奖励计划,共向安全研究人员颁发了 200 万美元奖金,用以奖励他们发现并修复的逾 2000 个安全漏洞。
大约两周前,Facebook 宣布旗下“Bug Bounty”(漏洞报告奖励)计划在过去两年间,总共投入了 100 万美元用于鼓励研究人员寻找安全漏洞。在谷歌投入的 200 万美元当中,Chromium VRP 与 Pwnium 项目的奖金额占到 100 万美元,而谷歌 Web VRP 计划的奖金额也超过 100 万美元。也就是说,这两个项目都非常成功。
为了庆祝这一里程碑,谷歌还上调了 Chromium 项目的奖励额度。按照新的措施,以前奖励额度在 1000 美元的安全漏洞,现在将提升到最高 5000 美元,这意味着在一些情况下,研究人员报告安全漏洞所获得的奖金提高了 5 倍。
谷歌表示,“当研究人员提供了有关某些安全漏洞危害性和严重性的准确分析报告时,我们会给予他们更高的奖励,我们认为这些安全漏洞会给用户安全带来更大的威胁。我们将继续执行以前宣布过的奖励举措,如果研究人员提供安全补丁,或是在开源软件中发现重要漏洞,我们将给予最高额度的奖励。”
漏洞报告奖励计划被许多人看作是现有内部安全项目的有益补充。它们有助于鼓励安全研究人员积极寻找安全漏洞,并及时向企业报告,而不是利用这些信息牟利,或是出售给其他人员。据报道,Mozilla 和 Facebook 都具有重要的漏洞报告奖励计划,而微软最近也加入了他们的行列。