Google heeft een nieuw bug bounty-platform aangekondigd ter gelegenheid van het 10-jarig jubileum van zijn Vulnerability Rewards Program (VRP). Het programma leidde tot in totaal 11.055 gevonden bugs, 2.022 beloonde onderzoekers en bijna $30 miljoen aan totale beloningen.
Jan Keller, technisch programmamanager voor Google's VRP, zei dat ze ter ere van het programma een nieuw platform onthullen: bughunters.google.com.
“Deze nieuwe site brengt al onze VRP's (Google, Android, Abuse, Chrome en Play) dichter bij elkaar en biedt één enkel intakeformulier dat het voor bugjagers gemakkelijker maakt om problemen in te dienen”, aldus Keller.
Keller voegde toe dat het platform gamification-functies zal hebben en meer kansen op interactie of competitie zal bieden. Er zijn per land klassementen en kansen om onderscheidingen of badges te verdienen voor specifieke bugs.
Het bedrijf creëert ook een “esthetisch aantrekkelijker leaderboard” als een manier om diegenen te helpen die hun prestaties in de VRP gebruiken om een baan te vinden. Er zullen zelfs meer kansen zijn voor bug-jagers om te leren via de nieuwe Bug Hunter University.
“We kennen de waarde die het delen van kennis voor onze gemeenschap oplevert. Daarom willen we het voor u gemakkelijker maken om te publiceren je bugrapporten. Swag wordt nu ondersteund voor speciale gelegenheden (we hebben je luid en duidelijk gehoord!), “schreef Keller.
De blogpost merkt op dat meer mensen zouden moeten profiteren van andere VRP-functies, zoals de mogelijkheid om patches voor open-sourcesoftware in te dienen voor beloningen en mogelijke beloningen voor onderzoekspapers over de veiligheid van open source.
Sommige open-source software kan zelfs in aanmerking komen voor subsidie, legt Keller uit.
“Toen we onze allereerste VRP lanceerden, hadden we geen idee hoeveel geldige kwetsbaarheden – als die er al waren – op de eerste dag zouden worden ingediend. Iedereen in het team gaf zijn schatting in, met voorspellingen variërend van nul tot 20”, zei Keller.
“Uiteindelijk hebben we meer dan 25 rapporten ontvangen, wat ons allemaal verraste. Sinds de start is het VRP-programma niet alleen aanzienlijk gegroeid in termen van rapportvolume, maar is het team van beveiligingsingenieurs erachter ook uitgebreid – waaronder bijna 20 bugjagers die kwetsbaarheden aan ons meldden en uiteindelijk lid werden van het Google VRP-team.”
Keller bedankte de Google bug hunter-community voor hun werk en drong er bij hen op aan feedback te geven over het nieuwe platform .
Hank Schless, senior manager bij Lookout, zei dat zijn bedrijf bijna 600 kwaadaardige apps in de Play Store heeft gevonden en prees Google voor het “in wezen crowdsourcing van hun bug- en kwetsbaarheidsrapportage.”
“Google heeft altijd een meer open benadering van zijn software dan vergelijkbare bedrijven. Android, bijvoorbeeld, is gebouwd op open-sourcetechnologie die meer maatwerk van het besturingssysteem mogelijk maakt, “zei Schless.
“Vertrouwen op anderen om te helpen bij het rapporteren van problemen is een belangrijk onderdeel van het creëren van een veilige klantervaring die kan blijven verbeteren. Dit soort community-gebaseerde kennis dient alleen om de wereld veiliger te maken. “
Verwante onderwerpen:
Beveiliging Cloud Mobiliteit Enterprise Software Kunstmatige intelligentie Hardware 