谷歌2021年向安全研究人员颁发了870万美元的漏洞报告奖励金
其中 300 万美元被用于 Android 漏洞报告的奖励,330 万面向 Chrome 浏览器漏洞报告,50 万美元针对 Play 商店漏洞,还有 31.3 万美元与 Google Cloud 云平台有关。
此外去年总计有 696 名研究人员拿到了 Google 的漏洞奖金,最高一笔为 15.7 万美元,可知其与 Android 漏洞利用链有关。
遗憾的是,迄今尚未有人能够拿到攻破 Pixel 智能机 Titan M 安全芯片的 150 万美元奖金。
作为参考,微软在 2021 年 7 月的一份报告中指出,该公司向漏洞提交者颁发了 1360 万美元的奖金,涉及 2020 年 7 月 1 日 - 2021 年 6 月 30 日期间上班的 1261 个漏洞。
Google 表示,2021 年是 VRP 项目的成功一年。因为该公司不仅发出了创纪录的奖金,还推出了新的计划。
首先是 Google 漏洞赏金(Bug Hunters)门户网站的设立,安全研究人员可在这里看到社区排行榜。
其次是专门推出的 Android 芯片组安全奖励计划(ACSRP)。作为与多家智能机厂商的合作项目,ACSRP 首年就吸引了 220 多份有效且独特的报告,并且颁发了 29.6 万美元的奖金。
最后,Google 公布了自家内部搜寻团队 Project Zero 的统计数据。可知其修补安全漏洞的时间有所改善,通常可在 52 天内完成修复(低于三年前的 80 天)。