谷歌漏洞赏金金额创历史新高,Chrome修复速度行业领先发现漏洞的研究人员还将奖金中的30万美元捐给了慈善机构。Android:对于Android漏洞赏金,研究人员在2021年的报酬将是2020年的两倍。说到数字,研究人员在2021年获得了近300万美元。谷歌还授予了有史以来最大的单一Android漏洞赏金——157,000美元(研究人员gzobqq@gmail.com在Android中发现了一个关键的漏洞利用链,CVE-2021-39698)。错误赏金总额一览:代码执行漏洞PixelTitanM:高达100万美元安全元素:高达25万美元可信执行环境:高达25万美元内核:高达25万美元特权进程:高达10万美元的Titan数据泄露M受保护的高价值数据:最高500,000美元受安全元件保护的高价值数据:最高250,000美元供应商提供的漏洞赏金计划。2021年,研究人员仅针对该计划就提交了220多份安全报告,谷歌为此总共奖励了296,000美元。Chrome:说到Chrome,谷歌还创下了奖励的新纪录。他们向115名研究人员奖励了330万美元,以表彰他们发现的333个Chrome安全漏洞。这些贡献不仅帮助Google改进了Chrome,还帮助改进了所有基于Chromium的浏览器。在330万美元中,310万美元奖励给Chrome浏览器中发现的安全漏洞,另外20万多美元奖励给ChromeOS中的漏洞,其中单个ChromeOS安全漏洞奖励最高奖金为45,000美元(实现问题ChromeOS中的根权限提升),单个Chrome浏览器安全漏洞的最高赏金为27,000美元。其中,Chrome从收到错误报告到向用户提供修复的间隔时间最短,平均为30天,而Chrome的竞争对手Firefox需要38天,Safari甚至需要73天。GooglePlay:GooglePlay向60多名安全研究人员支付了550,000美元的奖金。BugHunters:谷歌去年7月推出了一个新的漏洞赏金平台(我们也对此进行了报道),该平台通过为研究人员提供一个单一的入口点来提交跨Google、Android、Chrome、GooglePlay等的漏洞来简化流程。平台还通过提供各种维度的排行榜、奖励金额、徽章等功能,将提交漏洞的过程游戏化,进一步调动了研究人员的积极性。未来,谷歌将积极听取研究人员的意见,不断完善平台。本文转自OSCHINA文章标题:谷歌漏洞奖励金额再创新高,Chrome修复速度行业领先文章地址:https://www.oschina.net/news/182299/google-vulnerability-reward-program-2021
