尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
豐色 發自 凹非寺
量子位 報導 | 公眾號 QbitAI
漏洞賞金計劃(VRP)是現在很多科技公司查找自家漏洞的主要方法之一。
就像 Google的漏洞獎勵計劃自2010年底啟動以來,在兩千多名bug hunters的參與下,修復了 1萬餘加的漏洞。
而這些bug hunters們也累計獲得了近 3000萬美金的獎勵。
現在,Google為了慶祝推出漏洞獎勵計劃的周年紀念日、推進與更多bug hunters的合作,推出了他們的新平臺: Google Bug Hunters。
這個站點將Google所有的VRP計劃 (包括Google、Android、Abuse、Chrome和Play等產品或服務)進行統一管理,提供一個單一入口讓大家更方便地提交bug。
新平臺激勵更多人找bug
工程師們花了 大約兩年的時間才搭建好這個平臺,而一個bug hunter隻花了 幾個小時就率先發現了這個平臺的私有API接口。
尷尬的同時,Google也表示很欣慰。
Bug hunter們提交的每一份報告,將由總部位於瑞士和美國的Google安全工程師們進行親自審核。
值得一提的是,這個審核小組裡的部分成員就是通過向Google提交漏洞後被批準加入的。
為了激勵更多人參與這個計劃,網站還推出了 排行榜來促進良性競爭。
可以按國家或時間查看獲得獎勵最多的hunters。
建這個排行榜的另一個目的,是網站知道很多人都靠VRP的成績來找工作,所以他們希望這個排行榜也能成為bug hunters們的一個「背書」。
除此之外,不管你是「找碴」的新手還是老手,網站還推出了 Bug Hunter大學,幫助你提升找bug的能力。
它會給你介紹一些常見的bug「藏身之處」,你就可以從那些地方開始搜索目標。
為了節省雙方的時間,它也告訴你哪些常見bug其實是無效的,不用提交。因為據統計提交上來的報告裡有 90%都沒有實際意義。
另外還會教你如何清晰地寫一份呈現完整場景的復現報告,這樣也能方便審查人員對你發現的bug進行分類和評級。
最後,為了讓大家更方便快捷地提交報告,網站還簡化了演示流程。
介紹完了這個新平臺,下面應該就是大家最關心的問題:具體規則如何?哪方面的bug可以提?一個bug能獎勵多少錢?
下面就來簡單介紹一下Google這個漏洞賞金計劃的規則吧。
Google的VRP規則
官網上的規則可不少,且劃分的很詳細。我們就以Chrome為例:
首先是 漏洞查找範圍:
Canary版Chrome由於Google本身就會頻繁回歸測試,所以盡量多找 Stable、Beta、Dev版上的bug;
Google提供或使用的 第三方組件(如PDFium、adobeflash、Linux內核)上也可以。
然後是 查找bug和漏洞報告相幹的一些注意事項:
(1)找到了bug就在自己的機子上測試,不要去別人那裡搞破壞;
(2)除非是為了修bug不得以的情況下,不可將發現的bug提前公開,不然沒賞金(一般情況 下,bug再被標記為」已修復」後的14星期後才公開)
(3) 所有報告現在都必須通過該平臺按照統一的規則進行提交,不用額外加密;
且報告的質量非常重要,不然可能被判定無效,必須測試用例最小化、證明風險很大、分 析可能的原因、提供建議修補方法等。
(4)如果有多份相同的漏洞報告出現,由他們的跟蹤器跟蹤到的最早的提交為準;
(6)與Google相幹業務有關的人員可能沒有賞金資格;
最後就是大家最關心的 賞金額度了:
總的來說,額度從 500美元到15萬美元不等,特殊情況會特殊分析。
一共10種類型的漏洞獎勵,每一種漏洞按等級又有三檔額度。
獎金最高的是「沙箱逃逸」 (SandboxEscaper)、記憶體損壞。
ps.有太多網友覺得獎勵 越來越低了,所以導致不少人直接將漏洞出售給第三方。
當然,世界是如此參差,還有人對賞金完全不感興趣。
所以官方表示,如果 12個月仍未被認領的賞金將 捐給慈善機構。
網站地址:
https://bughunters.google.com/
參考鏈接:
https://security.googleblog.com/2021/07/a-new-chapter-for-googles-vulnerability.html
— 完—
本文系網易新聞•網易號特色內容激勵計劃簽約帳號【量子位】原創內容,未經帳號授權,禁止隨意轉載。
「智能汽車」交流群招募中!
歡迎關註智能汽車、自動駕駛的小夥伴們加入社群,與行業大咖交流、切磋,不錯過智能汽車行業發展&技術進展。加好友請務必備註您的姓名-公司-職位哦~
點這裡 👇關註我,記得標星哦~
一鍵三連「分享」、「點讚」和「在看」
科技前沿進展日日相見~