谷歌发布了对2014年安全奖励计划的回顾以及对2015年的展望,全文如下: 从2010年起,我们的安全奖励计划就为我们与安全研究社区的关系奠定了基石。这些项目的成功取决于两个核心信念: 安全研究人员帮助我们保护谷歌用户,应该得到奖励。 研究人员发现、披露、并帮助谷歌修复漏洞,而他们取得的成绩规模无法复制,他们让我们更好地理解如何让谷歌更安全。我们对研究人员在保护用户安全方面所做出的卓越贡献深表感谢。因此,我们想通过回顾2014年来庆祝他们为谷歌所做的一切以及我们给予他们的回报。 回顾2014 我们的安全奖励计划持续快速发展。自2010年起,我们在所有奖励计划中对安全研究人员的奖励已超过400万美元,我们期待一个又一个的丰收年。 2014年: 我们对研究人员的奖励超过150万美元。 我们有史以来颁发的最高奖励为15万美元。随后这名研究人员在谷歌进行了实习。 我们奖励的研究人员人数超过200名。 我们的奖励对象超过500个漏洞。在Chrome项目的奖励中,超过一半的奖励出现在开发者及Beta版。在漏洞困扰主流用户之前,我们将其一举消灭。 图为2014年在谷歌苏黎世VRP项目中发现漏洞最多的三名研究人员:Adrian(罗马尼亚)、Tomasz(波兰/英国)、Nikolai(乌克兰)。 展望2015 今天,我们将公布两个额外计划。 首先,研究人员在这些计划中所做出的努力,加上我们自己的内部安全工作,让漏洞的寻找变得越来越难。当然,这是个好消息,但同时它会让那些花费时间不断努力发现问题的研究人员产生挫败感。因此,今天我们将推出一个新的实验性计划:漏洞研究奖励。这是我们为研究人员在提交漏洞之前提供的前期奖励。 项目将按照下列方式运行: 我们会公布不同类型的漏洞、产品及服务,这些是我们在正常奖励范围之外希望支持的研究项目。 我们会在研究开始之前立即发放奖励,没有附带条件。按照惯例,研究人员之后可进行自己申请的研究项目。 我们设置了不同的奖励层级,最多的奖励为3,133.70美元。 获得这些奖励之后,研究人员仍然可以因发现漏洞而获得正常的奖励。 可参见奖励规则页面,获取更多关于这个奖励计划、项目申请要求以及其他 更多信息 另外,也是从今天开始,所有在Google Play以及iTunes平台上展示的由谷歌开发的移动应用程序现在也纳入了漏洞奖励项目(VRP)中。 我们期待在2015年继续加强与安全社区的紧密合作,并以资鼓励他们所付出的辛勤劳动! 原文链接:http://googleonlinesecurity.blogspot.com.au/2015/01/security-reward-programs-year-in-review.html |