最近,蘋果iOS8、云服務iCloud相繼卷入安全漏洞和軟件Bug風波,殃及企業形象。互聯網巨頭的產品安全性以及個人隱私安全,再次成為輿論焦點。
不知道是否和這一輪安全風波有關系。日前,谷歌宣布,將Chrome瀏覽器查找Bug和漏洞的獎金翻三倍,提高到1.5萬美元。
所謂重獎之下必有勇夫。在互聯網和軟件行業,依靠安全業界人士提前發現漏洞和Bug,通過內部報告和及時修補,是微軟、谷歌等公司保障軟件和網絡服務質量的重要手段。
據報道,之前,Chrome瀏覽器的“捉蟲”(發現Bug)獎金,從500美元到5000美元,最新的獎金標準為500美元到15000美元。意想不到的是,谷歌將獎金翻倍回溯到今年7月1日,即七八九三月發現的Chrome重要漏洞和錯誤,仍然可以享受新的獎金標準。
在500到15000美元的范圍中,如何確定具體Bug的獎金標準。谷歌給出了一個表格,其中對每一種漏洞類型,劃分為四中檔次:高質量報告(帶有可攻擊代碼證據)、高質量報告、基礎報告、低質量報告。
谷歌劃分的Chrome瀏覽器四種Bug類型中,包括了信息泄露、遠程代碼執行等類型。
不過據美國科技新聞網站TheNextWeb報道,在軟件漏洞的獎金上,谷歌也會針對特別重大的報告做出破例。比如就在上個月,有安全業界人士在Chrome中發現了一系列漏洞,設計IPC、V8、瀏覽器插件工具,這些漏洞可以被黑客利用,在瀏覽器內執行遠程代碼。
谷歌給這批漏洞報告者開出了三萬美元的高額獎金,堪稱史無前例。
據媒體分析,從新政策上看,谷歌尤其愿意重獎那些可以提供利用代碼實施攻擊證據的漏洞。據稱,安全業界人士可以首先向谷歌提交Chrome瀏覽器的漏洞報告,之后再提交利用該漏洞實施攻擊的代碼,這樣可以獲得高獎金。
谷歌表示,這次提高獎金額是一個雙贏的舉動。谷歌稱,公司希望能夠以最快的速度修補瀏覽器漏洞,同時報告漏洞的業界人士能夠最快速獲得回報和認可,此次提高獎金額度,將有助于避免多個業界人士重復報告一個漏洞的問題。
另外,谷歌Chrome團隊還宣布,將會設立一個“谷歌名人堂”,列出所有因報告漏洞和Bug獲得嘉獎的安全業界人士。
谷歌還宣布,自從之前捉蟲有獎計劃實施以來,到目前安全業界人士已經累計發現了700多個Chrome漏洞,這些報告者一共獲得了125萬美元的獎金。
另據報道,據谷歌安全高管透露,在過去三年中在包括Chrome在內的谷歌所有產品中,安全業界人士一共報告了2000多個Bug,一共領取了200多萬美元的獎金。
京公網安備 11010502049343號