Google 近日發(fā)布官方博客表示，他們的漏洞獎勵計劃(VRP)在 2021 年繼續(xù)得到增長，共發(fā)放了 870 萬美元的漏洞獎勵，其中這些找到漏洞的研究人員還將他們獎勵中的 30 萬美元捐贈給了慈善機構(gòu)。

Android：

對于 Android 系統(tǒng)的漏洞獎勵而言，2021 年與 2020 年相比，研究人員獲得的報酬翻了一番。落到具體數(shù)字上的話，研究人員在 2021 年獲得了近 300 萬美元的獎勵。Google 還發(fā)放了有史以來最大的單筆 Android 系統(tǒng)漏洞賞金 —— 15.7 萬美元(研究員 gzobqq@gmail.com 在 Android 中發(fā)現(xiàn)了一個關(guān)鍵的漏洞利用鏈 CVE-2021-39698)。

漏洞獎勵金額一覽：

代碼執(zhí)行漏洞

• Pixel Titan M：最高 100 萬美元
• 安全元件：最高 25 萬美元
• 可信執(zhí)行環(huán)境：最高 25 萬美元
• 內(nèi)核：最高 25 萬美元
• 特權(quán)進程：最高 10 萬美元

數(shù)據(jù)泄露

• 由 Titan M 保護的高價值數(shù)據(jù)：最高 50 萬美元
• 由安全元件保護的高價值數(shù)據(jù)：最高 25 萬美元

Google 在去年還推出了 Android 芯片組安全獎勵計劃(Android Chipset Security Reward Program)，這是 Google 與 Android 芯片制造商合作提供的漏洞獎勵計劃。2021 年，研究人員單單為這一個計劃就提交了 220 多份安全報告，Google 為此共獎勵了 29.6 萬美元。

Chrome：

談到 Chrome，Google 發(fā)放的獎勵也創(chuàng)造了一個新紀錄。他們向發(fā)現(xiàn)的 333 個 Chrome 安全漏洞，共 115 名研究人員發(fā)放了 330 萬美元的獎勵。這些貢獻不僅可以幫助 Google 改進 Chrome，還能改進所有基于 Chromium 的瀏覽器。

在這 330 萬美元中，有 310 萬美元用于獎勵 Chrome 瀏覽器中所發(fā)現(xiàn)的安全漏洞，另外的 20 多萬美元則是用于獎勵 Chrome OS 中的漏洞，其中對單個 Chrome OS 安全漏洞發(fā)放的最高獎金達到 4.5 萬美元(在 Chrome OS 中實現(xiàn) root 權(quán)限提升的問題)，對單個 Chrome 瀏覽器安全漏洞發(fā)放的最高獎金則是 2.7 萬美元。

其中 Chrome 在接收錯誤報告和向用戶提供修復程序之間的間隔最短，平均時間為 30 天，而 Chrome 的競爭對手 Firefox 則需要 38天，Safari 甚至需要 73天。

Google Play：

Google Play 向 60 多名安全研究人員支付了 55 萬美元的獎勵。

Bug Hunters：

Google 在去年 7 月推出了一個全新的漏洞懸賞平臺(我們對此也有報道)，該平臺為研究人員提供了一個提交 Google、Android、Chrome、Google Play 等漏洞的統(tǒng)一入口，簡化了流程。該平臺還通過提供各種維度的排行榜、獎勵金額、徽章等功能，將提交漏洞的過程游戲化，進一步激發(fā)了研究人員的熱情。未來 Google 還會積極聽取研究人員的意見，持續(xù)改進這個平臺。

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：Google 漏洞懸賞金額創(chuàng)下新記錄，Chrome 修復速度行業(yè)領(lǐng)先

本文地址：https://www.oschina.net/news/182299/google-vulnerability-reward-program-2021