自从谷歌在2010年11月宣布抓虫赏金计划后,他们已经总计支付了1200万美元。就在2017年里,谷歌支付了274位安全研究人员290万美元。而前年,这一数字是300万美元。
抓虫赏金计划是对软件开发公司内部安全项目一个很好的补充,它能激励体制外的个人和黑客集团为大公司软件安全做贡献。不过想要拿到赏金,仅仅发现漏洞还不够,编外安全研究人员不能恶意利用漏洞或将之透露给第三方,而要正确报告并帮助软件公司来解决问题。目前,苹果、Facebook和一些游戏公司都有类似的抓虫赏金计划。
谷歌表示,他们已经为超过50名编外安全研究人员支付每人12.5万美元的赏金,而帮助提升开源软件安全性的研究人员也能获得5万美元赏金。在2017年,最大的一笔11.25万美元赏金发放给了来自广东的研究人员,以感谢他发现了安卓系统上Chrome浏览器的漏洞,另有一笔10万美元的奖金给了网名为gzobqq的研究者,他发现了Chrome OS中访客模式可以执行远程代码的Bug。
评论 (0)