在周四的一篇谷歌安全博客文章中,谷歌披露了其对漏洞赏金计划(VRP)的年度审查数据。可以看出,2021年全年的拨款从2020年全年的670万美元增加到870万美元,用于奖励提交数千份针对谷歌产品的漏洞报告的提交者。其中,300万美元用于奖励Android错误报告,330万美元用于Chrome浏览器错误报告,50万美元用于PlayStore错误报告,以及313,000美元用于谷歌云。此外,去年共有696名研究人员获得了谷歌的漏洞赏金,最高金额为15.7万美元,可见与Android漏洞利用链有关。遗憾的是,因破解Pixel智能手机的TitanM安全芯片而获得的150万美元赏金尚未领取。作为参考,微软2021年7月的一份报告指出,该公司向2020年7月1日至2021年6月30日期间工作的员工的错误提交者提供了1360万美元的奖金。1261个漏洞。谷歌表示,2021年是VRP项目成功的一年。因为公司不仅发了创纪录的奖金,还推出了新的项目。首先是Google的BugHunters门户网站的推出,安全研究人员可以在其中查看社区排行榜。第二个是专门的Android芯片组安全奖励计划(ACSRP)。作为与多家智能手机制造商的合作项目,ACSRP在第一年就吸引了超过220份有效且独特的报告,并颁发了296,000美元的奖金。最后,谷歌发布了其内部搜索团队“零项目”的统计数据。它修补安全漏洞的时间有所缩短,通常在52天内(低于三年前的80天)。
