2014年Google抓漏獎勵計畫(VRP)的前三大貢獻者造訪Google:Adrian (Romania), Tomasz (Poland / UK), Nikolai (Ukraine)
Google自2010年起便推出各種安全獎勵計畫(Security Reward Programs,SRP),以現金回饋那些提報Google產品或服務漏洞的資安研究人員。有鑒於漏洞愈來愈少,也愈來愈難抓,為了刺激開發人員的抓漏動機,Google祭出新的漏洞研究補助(Vulnerability Research Grant,VRG),邀請開發人員探索Google產品或服務的漏洞,不論有沒有抓到漏洞,都可領到500美元到3133.7美元的研究補助,若抓到符合資格的漏洞,還可依照既有的抓漏獎勵計畫領獎。
Google的資安獎勵計畫(SVR)原本以獎勵抓漏的VRP(Vulnerability Reward Program)項目最為知名,另還有修補程式獎勵計畫(Patch Reward Program)和Chrome獎勵。這次新增加的漏洞研究贊助則是首創在尚未抓到漏洞之前就給予贊助。
Google安全工程師Eduardo Vela Nava表示,各式的安全獎勵計畫再加上Google員工的努力,使得漏洞愈來愈少,也讓研究人員愈來愈難找到漏洞,因此Google決定推出漏洞研究補助實驗計畫,這是一個VRP以外的計畫,將會在研究人員開始研究漏洞時便提供現金補助,如果找到漏洞,還可另外申請SRP的獎勵。
目前Google列出的漏洞研究補助項目包括Google各種新發表的功能與產品,補助金額自500美元到3133.7美元不等。以及處理使用者機密資料的各種Google產品,補助金額自1338美元到3133.7美元不等。還有涉及Google產品安全效能的研究,補助金額1337美元至3133.7美元。
這個獎勵計畫主要是針對過去在漏洞研究領域表現優異的研究人員,或者是受到邀請的專家。Google也開放有興趣的資安研究人員申請此一補助,表示可能會因特定的研究項目提供更高的補助,也不排除由同一名研究人員取得多項補助。Google強調,該補助的目的是為了支持研究人員尋找漏洞,他們當然希望產品毫無漏洞,但若沒有找到漏洞也不會影響研究人員取得另一個補助的機會。
除了全新的漏洞補助計畫之外,Google也將Google Play及蘋果iTunes等行動市集列入漏洞獎勵計畫中。去年總計有超過200名研究人員找到500個漏洞,取得逾150萬美元的抓漏獎金,其中單筆最大獎金高達15萬美元。