谷歌提高漏洞赏金，Chrome 赏金增加一倍不止

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

谷歌提高了 Chrome 漏洞奖励计划的赏金额度，“高质”报告的赏金从1.5万美元提高至3万美元，而 Chrome 的赏金基线也提升至1.5万美元。

这次赏金提升隶属于谷歌 Chromium 开源项目。该项目为谷歌 Chrome 浏览器提供大量代码。Chrome 漏洞奖励计划创建于2010年，备受漏洞奖励社区关注。

这次更新的漏洞奖励计划还包括：对通过 Chrome Fuzzer Program下的模糊测试器找到的漏洞的赏金翻了一番，达1000美元。模糊测试是一种自动化软件测试形式，研究人员将代码暴露给无效的、异常的或随机的数据，是找到软件漏洞和缺陷的一种方式。

Tenable 公司的资深研究员 Jimi Sebree 认为谷歌增加赏金的做法“明智”，因为私营公司持续以高收入吸引赏金猎人。比如 Zerodium 就表示，研究人员如果找到和 Chrome 相关的结合本地权限提升的远程代码执行漏洞，最高可获得50万美元的赏金。

他指出，“私下出售利用代码当然会获得更高的赏金，但从常见的赏金情况来看，Chrome 的赏金非常透明。它们肯定是持续的高赏金计划之一，而且高质量漏洞报告获得比赏金更高的奖赏情况并不罕见。”

Sebree 认为高赏金并不一定总是会让软件变得更安全。“评价漏洞奖励计划的好坏时，赏金额虽然是一个考量维度，但我认为公开和私下的整个流程的高透明度可能会增加漏洞奖励计划的声誉。”

谷歌表示，除了Chrome漏洞奖励计划的赏金额是原来的两倍和三倍外，上周三 Google Play 安全奖励计划宣布增加对远程代码执行漏洞的奖励，从5000美元提升至2万美元。另外，该奖励计划提升对“不安全的私人数据”被盗漏洞的赏金，从1000美元提升至3000美元，而“访问受保护的 app 组件”漏洞的赏金从1000美元提升至3000美元。

此外，谷歌还增加了对 Chrome OS 漏洞的赏金。

谷歌在上周四表示，“我们对可持久以 guest 模式攻陷 Chromebook 或 Chrombox 的利用链的基准赏金增加至15万美元。固件漏洞以及锁屏绕过漏洞也对应有专门的赏金类型。”

原文链接

https://threatpost.com/google-triples-bug-bounty-payouts/146539/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。