谷歌推出全新漏洞懸賞平臺,還提供了“BUG獵人”排行榜
本文經(jīng)AI新媒體量子位(公眾號ID:QbitAI)授權(quán)轉(zhuǎn)載,轉(zhuǎn)載請聯(lián)系出處。
漏洞賞金計劃(VRP)是現(xiàn)在很多科技公司查找自家漏洞的主要方法之一。
就像谷歌的漏洞獎勵計劃自2010年底啟動以來,在兩千多名bug hunters的參與下,修復(fù)了1萬余加的漏洞。
而這些bug hunters們也累計獲得了近3000萬美金的獎勵。
現(xiàn)在,谷歌為了慶祝推出漏洞獎勵計劃的周年紀(jì)念日、推進(jìn)與更多bug hunters的合作,推出了他們的新平臺:Google Bug Hunters。
這個站點將谷歌所有的VRP計劃(包括Google、Android、Abuse、Chrome和Play等產(chǎn)品或服務(wù))進(jìn)行統(tǒng)一管理,提供一個單一入口讓大家更方便地提交bug。
新平臺激勵更多人找bug
工程師們花了大約兩年的時間才搭建好這個平臺,而一個bug hunter只花了幾個小時就率先發(fā)現(xiàn)了這個平臺的私有API接口。
尷尬的同時,谷歌也表示很欣慰。
Bug hunter們提交的每一份報告,將由總部位于瑞士和美國的谷歌安全工程師們進(jìn)行親自審核。
值得一提的是,這個審核小組里的部分成員就是通過向谷歌提交漏洞后被批準(zhǔn)加入的。
為了激勵更多人參與這個計劃,網(wǎng)站還推出了排行榜來促進(jìn)良性競爭。
可以按國家或時間查看獲得獎勵最多的hunters。
建這個排行榜的另一個目的,是網(wǎng)站知道很多人都靠VRP的成就來找工作,所以他們希望這個排行榜也能成為bug hunters們的一個“背書”。
除此之外,不管你是“找茬”的新手還是老手,網(wǎng)站還推出了Bug Hunter大學(xué),幫助你提升找bug的能力。
它會給你介紹一些常見的bug“藏身之處”,你就可以從那些地方開始搜索目標(biāo)。
為了節(jié)省雙方的時間,它也告訴你哪些常見bug其實是無效的,不用提交。因為據(jù)統(tǒng)計提交上來的報告里有90%都沒有實際意義。
另外還會教你如何清晰地寫一份呈現(xiàn)完整場景的復(fù)現(xiàn)報告,這樣也能方便審查人員對你發(fā)現(xiàn)的bug進(jìn)行分類和評級。
最后,為了讓大家更方便快捷地提交報告,網(wǎng)站還簡化了演示流程。
介紹完了這個新平臺,下面應(yīng)該就是大家最關(guān)心的問題:具體規(guī)則如何?哪方面的bug可以提?一個bug能獎勵多少錢?
下面就來簡單介紹一下谷歌這個漏洞賞金計劃的規(guī)則吧。
谷歌的VRP規(guī)則
官網(wǎng)上的規(guī)則可不少,且劃分的很詳細(xì)。我們就以Chrome為例:
首先是漏洞查找范圍:
Canary版Chrome由于谷歌本身就會頻繁回歸測試,所以盡量多找Stable、Beta、Dev版上的bug;
谷歌提供或使用的第三方組件 (如PDFium、adobeflash、Linux內(nèi)核)上也可以。
然后是查找bug和漏洞報告相關(guān)的一些注意事項:
(1)找到了bug就在自己的機(jī)子上測試,不要去別人那里搞破壞;
(2)除非是為了修bug不得以的情況下,不可將發(fā)現(xiàn)的bug提前公開,不然沒賞金(一般情況 下,bug再被標(biāo)記為”已修復(fù)”后的14星期后才公開)
(3) 所有報告現(xiàn)在都必須通過該平臺按照統(tǒng)一的規(guī)則進(jìn)行提交,不用額外加密;
且報告的質(zhì)量非常重要,不然可能被判定無效,必須測試用例最小化、證明風(fēng)險很大、分 析可能的原因、提供建議修補(bǔ)方法等。
(4)如果有多份相同的漏洞報告出現(xiàn),由他們的跟蹤器跟蹤到的最早的提交為準(zhǔn);
(6)與谷歌相關(guān)業(yè)務(wù)有關(guān)的人員可能沒有賞金資格;
最后就是大家最關(guān)心的賞金額度了:
總的來說,額度從500美元到15萬美元不等,特殊情況會特殊分析。
一共10種類型的漏洞獎勵,每一種漏洞按等級又有三檔額度。
獎金最高的是“沙箱逃逸”(SandboxEscaper)、內(nèi)存損壞。
ps.有太多網(wǎng)友覺得獎勵越來越低了,所以導(dǎo)致不少人直接將漏洞出售給第三方。
當(dāng)然,世界是如此參差,還有人對賞金完全不感興趣。
所以官方表示,如果12個月仍未被認(rèn)領(lǐng)的賞金將捐給慈善機(jī)構(gòu)。
網(wǎng)站地址:
https://bughunters.google.com/
