3,4 millió dollárt kaptak tavaly a Google bugvadászai
A program kezdete óta a keresőóriás több mint 15 millió dollárt osztott ki a sérülékenységeket lefülelő biztonsági szakértőknek.
Vaskos összegeket csengetett ki a bugvadászoknak a Google: a keresőóriás közzétette bug bounty programjának tavalyi statisztikáit, amelyekből kiderül, csak a 2018-as év során a vállalat több mint 3,4 millió dollárt osztott ki a szoftvereiben felbukkant biztonsági rések jelentőinek. A Google még 2010-ben indította a Vulnerability Reward Programot, amellyel a biztonsági szakértőket, vagy akár a területtel hobbi szinten foglalkozókat igyekszik motiválni, hogy jelentsék számára a termékekben talált sebezhetőségeket. A frissen közzétett statisztikák szerint a vállalat a jutalomprogram rajtja óta összesen több mint 15 millió dollárral jutalmazta a biztonsági rések megtalálóit.
Jól látszik tehát, hogy 2018 kifejezetten termékeny év volt a Google termékeiben bugokat keresőknek: a cég 1319 egyedi jutalmat osztott ki 317 kutatónak, összesen 78 országban. A fentebb említett 3,4 milliós összesített jutalomból egyébként a vállalat annak felét, vagyis 1,7 millió dollárt kifejezetten az Android rendszerben és a Chrome böngészőben talált hibákért fizette ki.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A legnagyobb jutalom egyetlen hibáért tavaly derekas, 41 ezer dollár volt, amelyet egy lengyel biztonsági szakértő, Tomasz Bojarski zsebelhetett be egy XSS sebezhetőség jelentését követően, amellyel a potenciális támadók megváltoztathatták a kiszemelt weboldalak megjelenését, illetve személyes adatokat is megszerezhettek a látogatóktól - Bojarski a Google szerint éttermet nyitott a jutalomból.
A Google fő bug bounty programja mellett Vulnerabilityy Research Grants néven egy másik jutalomrendszert is vezet, amellyel a főállású bugvadászokat igyekszik segíteni, illetve azt az időt honorálni, amelyet a kutatók a termékei vizsgálatába öltek, végül akár hiba felfedezése nélkül. A programba a legjobban teljesítő szakértők kerülhetnek be, illetve időnként a Google meghívásos alapon is beválogat kutatókat. De a cég tavaly egy újabb párhuzamos jutalomrendszert is indított, a Security and Privacy Research Awards programot, amelynek keretében az IT biztonsági területen nagyot alkotó egyetemi kutatók munkáját ismeri el, egyetemüket pedig pénzjutalomban is részesíti. Idén az intézményeknek a vállalat összesen több mint félmillió dollárt osztott ki.