Google ha annunciato una nuova piattaforma di bug bounty in occasione del decimo anniversario del suo Vulnerability Rewards Program (VRP). Il programma ha portato a un totale di 11.055 bug trovati, 2.022 ricercatori premiati e quasi 30 milioni di dollari in ricompense totali.
Jan Keller, responsabile del programma tecnico per VRP di Google, ha affermato che in onore del programma stanno svelando una nuova piattaforma: bughunters.google.com.
“Questo nuovo sito avvicina tutti i nostri VRP (Google, Android, Abuse, Chrome e Play) e fornisce un unico modulo di assunzione che rende più facile per i cacciatori di bug inviare problemi”, ha affermato Keller.
Keller ha aggiunto che la piattaforma avrà funzionalità di ludicizzazione e offrirà maggiori possibilità di interazione o competizione. Ci saranno classifiche per paese e possibilità di acquisire premi o badge per bug specifici.
L'azienda sta anche creando una “classifica esteticamente gradevole” per aiutare coloro che utilizzano i loro risultati nel VRP a trovare lavoro. Ci saranno anche più possibilità per i cacciatori di bug di imparare attraverso la nuova Bug Hunter University.
“Sappiamo il valore che la condivisione della conoscenza porta alla nostra comunità. Ecco perché vogliamo semplificare la pubblicazione le tue segnalazioni di bug. Swag ora sarà supportato per le occasioni speciali (ti abbiamo sentito forte e chiaro!),” ha scritto Keller.
Il post sul blog rileva che più persone dovrebbero sfruttare altre funzionalità VRP come la possibilità di inviare patch a software open source per premi e potenziali premi per documenti di ricerca sulla sicurezza dell'open source.
Alcuni software open-source potrebbero persino beneficiare di sussidi, ha spiegato Keller.
“Quando abbiamo lanciato il nostro primissimo VRP, non avevamo idea di quante vulnerabilità valide, se del caso, sarebbero state presentate il primo giorno. Tutti i membri del team hanno inserito la loro stima, con previsioni che andavano da zero a 20”, ha detto Keller.
“Alla fine, abbiamo ricevuto più di 25 segnalazioni, cogliendoci tutti di sorpresa. Fin dal suo inizio, il programma VRP non solo è cresciuto in modo significativo in termini di volume di segnalazioni, ma anche il team di ingegneri della sicurezza dietro di esso si è ampliato – inclusi quasi 20 cacciatori di bug che ci hanno segnalato vulnerabilità e sono finiti a far parte del team di Google VRP.”
Keller ha continuato ringraziando la community di cacciatori di bug di Google per il loro lavoro e li ha esortati a fornire feedback sulla nuova piattaforma .
Hank Schless, senior manager di Lookout, ha affermato che la sua azienda ha segnalato quasi 600 app dannose trovate nel Play Store e ha elogiato Google per “essenzialmente crowdsourcing per la segnalazione di bug e vulnerabilità”.
“Google ha sempre preso di più approccio aperto al suo software rispetto alle società comparabili. Android, ad esempio, è basato su una tecnologia open source che consente una maggiore personalizzazione del sistema operativo”, ha affermato Schless.
“Fare affidamento su altri per segnalare i problemi è una parte fondamentale della creazione di un'esperienza cliente sicura che può continuare a migliorare. Questo tipo di conoscenza basata sulla comunità serve solo a rendere il mondo un luogo più sicuro. “
Argomenti correlati:
Sicurezza Cloud Mobility Software aziendale Intelligenza artificiale Hardware 