Google annoncerede en ny bug-bounty-platform, da de fejrede 10-årsdagen for sit Vulnerability Rewards-program (VRP). Programmet førte til, at der i alt blev fundet 11.055 fejl, 2.022 belønnede forskere og næsten $ 30 millioner i samlede belønninger.
Jan Keller, teknisk programchef for Googles VRP, sagde, at de til ære for programmet afslører en ny platform: bughunters.google.com.
“Dette nye websted bringer alle vores VRP'er (Google, Android, Abuse, Chrome og Play) tættere sammen og giver en enkelt indtagelsesformular, der gør det lettere for fejljægere at indsende problemer,” sagde Keller.
Keller tilføjede, at platformen vil have gamifikationsfunktioner og give flere chancer for interaktion eller konkurrence. Der vil være ranglister pr. Land og chancer for at erhverve priser eller badges for specifikke fejl.
Virksomheden skaber også et mere “æstetisk tiltalende leaderboard” som en måde at hjælpe dem, der bruger deres præstationer i VRP, med at finde job. Der vil endda være flere chancer for fejljægere at lære gennem det nye Bug Hunter University.
“Vi kender den værdi, videndeling bringer til vores samfund. Derfor vil vi gøre det lettere for dig at udgive dine fejlrapporter. Swag understøttes nu til særlige lejligheder (vi hørte dig højt og tydeligt!), “skrev Keller.
Blogindlægget bemærker, at flere mennesker bør drage fordel af andre VRP-funktioner som f.eks. Muligheden for at indsende patches til open source-software til belønninger og potentielle belønninger for forskningsartikler om sikkerheden ved open source.
Nogle open source-software kan endda være støtteberettigede, forklarede Keller.
“Da vi lancerede vores allerførste VRP, havde vi ingen idé om, hvor mange gyldige sårbarheder – hvis nogen – der ville blive sendt den første dag. Alle i holdet lagde deres skøn med forudsigelser, der spænder fra nul til 20, “sagde Keller.
“Til sidst modtog vi faktisk mere end 25 rapporter, der overraskede os alle. Siden starten er VRP-programmet ikke kun vokset markant med hensyn til rapportvolumen, men teamet af sikkerhedsingeniører bag det har også udvidet – herunder næsten 20 bugjægere, der rapporterede om sårbarheder over for os og endte med at blive medlem af Google VRP-teamet. “
Keller fortsatte med at takke Google bug-hunter-samfundet for deres arbejde og opfordrede dem til at give feedback om den nye platform .
Hank Schless, seniorchef hos Lookout, sagde, at hans firma har rapporteret næsten 600 ondsindede apps, der findes i Play Butik og roste Google for “i det væsentlige at Crowdsourcing deres rapportering om fejl og sårbarheder.” åben tilgang til sin software end sammenlignelige virksomheder. Android er for eksempel bygget på open source-teknologi, der muliggør mere tilpasning af operativsystemet, “sagde Schless.
“At stole på andre for at hjælpe med at rapportere om problemer er en vigtig del af at skabe en sikker kundeoplevelse, der kan fortsætte med at blive bedre. Denne type samfundsbaseret viden tjener kun til at gøre verden til et mere sikkert sted. “
Relaterede emner:
Sikkerhed Cloud Mobility Enterprise Software Artificial Intelligence Hardware 