Google hat anlässlich des 10-jährigen Jubiläums seines Vulnerability Rewards Program (VRP) eine neue Bug-Bounty-Plattform angekündigt. Das Programm führte zu insgesamt 11.055 gefundenen Fehlern, 2.022 belohnten Forschern und fast 30 Millionen US-Dollar an Gesamtprämien.
Jan Keller, technischer Programmmanager für Googles VRP, sagte, dass zu Ehren des Programms eine neue Plattform vorgestellt wird: bughunters.google.com.
„Diese neue Website bringt alle unsere VRPs (Google, Android, Abuse, Chrome und Play) näher zusammen und bietet ein einziges Aufnahmeformular, das es Bug-Jägern erleichtert, Probleme einzureichen“, sagte Keller.
Keller fügte hinzu, dass die Plattform über Gamification-Funktionen verfügen und mehr Möglichkeiten für Interaktion oder Wettbewerb bieten wird. Es wird länderspezifische Bestenlisten geben und die Möglichkeit, Auszeichnungen oder Abzeichen für bestimmte Fehler zu erhalten.
Das Unternehmen erstellt auch eine “ästhetisch ansprechendere Bestenliste”, um denjenigen zu helfen, die ihre Leistungen im VRP bei der Jobsuche nutzen. Es wird noch mehr Möglichkeiten für Bug Hunters geben, durch die neue Bug Hunter University zu lernen.
“Wir wissen, welchen Wert der Wissensaustausch für unsere Community hat. Deshalb möchten wir dir die Veröffentlichung erleichtern Ihre Fehlerberichte. Swag wird jetzt für besondere Anlässe unterstützt (wir haben Sie laut und deutlich gehört!), “, schrieb Keller.
Der Blog-Beitrag weist darauf hin, dass mehr Menschen andere VRP-Funktionen nutzen sollten, wie die Möglichkeit, Patches für Open-Source-Software einzureichen, um Belohnungen und potenzielle Belohnungen für Forschungsarbeiten zur Sicherheit von Open Source zu erhalten.
Einige Open-Source-Software könnte sogar förderfähig sein, erklärte Keller.
“Als wir unser allererstes VRP auf den Markt brachten, hatten wir keine Ahnung, wie viele gültige Sicherheitslücken – falls überhaupt – am ersten Tag eingereicht würden. Jeder im Team gab seine Schätzung ab, wobei die Vorhersagen reichten von null auf 20”, sagte Keller.
„Am Ende haben wir tatsächlich mehr als 25 Meldungen erhalten, die uns alle überrascht haben. Das VRP-Programm ist seit seiner Einführung nicht nur in Bezug auf das Meldevolumen deutlich gewachsen, sondern auch das Team der Sicherheitsingenieure dahinter hat sich erweitert – darunter fast 20 Fehlersucher, die uns Schwachstellen gemeldet haben und sich schließlich dem Google VRP-Team angeschlossen haben.”
Keller bedankte sich weiterhin bei der Google Fehlersucher-Community für ihre Arbeit und forderte sie auf, Feedback zur neuen Plattform zu geben .
Hank Schless, Senior Manager bei Lookout, sagte, sein Unternehmen habe fast 600 bösartige Apps gemeldet, die im Play Store gefunden wurden, und lobte Google dafür, dass es “im Wesentlichen ihre Fehler- und Schwachstellenberichterstattung über Crowdsourcing” erstellt hat.
“Google hat sich immer mehr vorgenommen Offener Ansatz für seine Software als vergleichbare Unternehmen. Android zum Beispiel basiert auf Open-Source-Technologie, die eine stärkere Anpassung des Betriebssystems ermöglicht”, sagte Schless.
“Das Vertrauen auf andere beim Melden von Problemen ist ein wichtiger Bestandteil für die Schaffung eines sicheren Kundenerlebnisses, das weiter verbessert werden kann. Diese Art von Community-basiertem Wissen dient nur dazu, die Welt sicherer zu machen. “
Verwandte Themen:
Sicherheit Cloud Mobility Unternehmenssoftware Hardware für künstliche Intelligenz 