漏洞赏金计划(VRP)是现在很多科技公司查找自家漏洞的主要方法之一。
就像谷歌的漏洞奖励计划自2010年底启动以来,在两千多名bug hunters的参与下,修复了1万余加的漏洞。
而这些bug hunters们也累计获得了近3000万美金的奖励。
现在,谷歌为了庆祝推出漏洞奖励计划的周年纪念日、推进与更多bug hunters的合作,推出了他们的新平台:Google Bug Hunters。
这个站点将谷歌所有的VRP计划(包括Google、Android、Abuse、Chrome和Play等产品或服务)进行统一管理,提供一个单一入口让大家更方便地提交bug。
新平台激励更多人找bug
工程师们花了大约两年的时间才搭建好这个平台,而一个bug hunter只花了几个小时就率先发现了这个平台的私有API接口。
尴尬的同时,谷歌也表示很欣慰。
Bug hunter们提交的每一份报告,将由总部位于瑞士和美国的谷歌安全工程师们进行亲自审核。
值得一提的是,这个审核小组里的部分成员就是通过向谷歌提交漏洞后被批准加入的。
为了激励更多人参与这个计划,网站还推出了排行榜来促进良性竞争。
可以按国家或时间查看获得奖励最多的hunters。
建这个排行榜的另一个目的,是网站知道很多人都靠VRP的成就来找工作,所以他们希望这个排行榜也能成为bug hunters们的一个“背书”。
除此之外,不管你是“找茬”的新手还是老手,网站还推出了Bug Hunter大学,帮助你提升找bug的能力。
它会给你介绍一些常见的bug“藏身之处”,你就可以从那些地方开始搜索目标。
为了节省双方的时间,它也告诉你哪些常见bug其实是无效的,不用提交。因为据统计提交上来的报告里有90%都没有实际意义。
另外还会教你如何清晰地写一份呈现完整场景的复现报告,这样也能方便审查人员对你发现的bug进行分类和评级。
最后,为了让大家更方便快捷地提交报告,网站还简化了演示流程。
介绍完了这个新平台,下面应该就是大家最关心的问题:具体规则如何?哪方面的bug可以提?一个bug能奖励多少钱?
下面就来简单介绍一下谷歌这个漏洞赏金计划的规则吧。
谷歌的VRP规则
官网上的规则可不少,且划分的很详细。我们就以Chrome为例:
首先是漏洞查找范围:
Canary版Chrome由于谷歌本身就会频繁回归测试,所以尽量多找Stable、Beta、Dev版上的bug;
谷歌提供或使用的第三方组件 (如PDFium、adobeflash、Linux内核)上也可以。
然后是查找bug和漏洞报告相关的一些注意事项:
(1)找到了bug就在自己的机子上测试,不要去别人那里搞破坏;
(2)除非是为了修bug不得以的情况下,不可将发现的bug提前公开,不然没赏金(一般情况 下,bug再被标记为”已修复”后的14星期后才公开)
(3) 所有报告现在都必须通过该平台按照统一的规则进行提交,不用额外加密;
且报告的质量非常重要,不然可能被判定无效,必须测试用例最小化、证明风险很大、分 析可能的原因、提供建议修补方法等。
(4)如果有多份相同的漏洞报告出现,由他们的跟踪器跟踪到的最早的提交为准;
(6)与谷歌相关业务有关的人员可能没有赏金资格;
最后就是大家最关心的赏金额度了:
总的来说,额度从500美元到15万美元不等,特殊情况会特殊分析。
一共10种类型的漏洞奖励,每一种漏洞按等级又有三档额度。
奖金最高的是“沙箱逃逸”(SandboxEscaper)、内存损坏。
ps.有太多网友觉得奖励越来越低了,所以导致不少人直接将漏洞出售给第三方。
当然,世界是如此参差,还有人对赏金完全不感兴趣。
所以官方表示,如果12个月仍未被认领的赏金将捐给慈善机构。
网站地址:
https://bughunters.google.com/
参考链接:
https://security.googleblog.com/2021/07/a-new-chapter-for-googles-vulnerability.html
“