Emeli a tétet Chrome-os Bug Bounty programjában a Google
A vállalat bizonyos esetekben akár triplájára emeli a felfedezett hibákért maximálisan kifizethető összegeket.
Mélyebben a zsebébe nyúl a Google a Chrome bugokért járó fejpénzek kiosztásánál, a vállalat egyes esetekben akár a korábbi díj háromszorosát is kicsengeti a sebezhetőségek felfedezőinek.
A vállalat 2010-ben indított Bug Bounty programjában három kategóriába sorolja a bugjelentéseket, azok minőségétől függően. A cég megkülönböztet alapfokú, vagy "Baseline" jelentéseket, amelyek nem mennek mély részletekbe az adott hiba kapcsán, ugyanakkor ezeknek is tartalmazniuk kell legalább egy egyszerű példát a biztonsági rés bemutatására, illetve az érintett Chrome verziók listáját. Értelemszerűen az ilyen jelentések jár a legszerényebb jutalom, azok összege 500 dollárról indul - a Google azonban a díjak maximumát itt is tekintélyes összegig emelte, az eredeti 5 ezer dollárt megtriplázva, azt most 15 ezer dollárnál húzta meg. Ezt a vállalat a kritikus, sandboxon kívüli memóriakorrupciós hibák, illetve a sandboxból való kijutást lehetővé tevő sérülékenységek esetén fizeti ki.
A vállalat a jó minőségű, "High-quality" jelentéseknél már bőkezűbb, noha elvárásai is nagyobbak: a példaeset mellett itt szükség van annak demonstrációjára is, hogy az adott bugot jó eséllyel kihasználják, továbbá a bug eredetét vizsgáló elemzést és egy patch javaslatot is elvár a cég. Mindezek mellett a jelentés tömör és lényegre törő kell hogy legyen, illetve a felfedezőnek adott esetben a javításon dolgozó mérnökök felmerülő kérdéseire is válaszolnia kell. A nagyobb erőfeszítést a cég a hiba súlyosságától függően 3 és 20 ezer dollár közötti összeggel jutalmazza.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A legfelső, és legjövedelmezőbb kategória a jó minőségű jelentés elvárásai mellett egy exploitot is kell tartalmazzon, amelyből kiderül, hogy a bug nem csak egyszerűen kihasználható, de azt aktívan használják is a vállalat felhasználói ellen. Egy hasonló jelentésért a Google legkevesebb 5 ezer dollárt fizet ki, ami kritikus sebezhetőségeknél akár 30 ezer dollárig is felkúszhat - ez duplája az eddigi 15 ezer dolláros maximumnak.
Ez ugyanakkor még mindig nem az elérhető legnagyobb összeg: azt a cég a Chromebookok és Chromeboxok súlyos sérülékenységeiért fizeti ki, mint a vendég üzemmódból történő tetszőleges kódfuttatás. A Google az ilyen hibákért egészen mostanáig akár 100 ezer dollárt csengetett ki, mától azonban 150 ezer dollárt is adhat a felfedezőknek. A vállalat idén februárban arról számolt be, hogy a Bug Bounty program kezdete óta összes termékéhez kapcsolódóan összesen több mint 15 millió dollárt fizetett ki a hibák megtalálóinak - ebből 3,4 milliót csak a tavalyi év során. A 2018-as jutalmak felét a vállalat kifejezetten az Android rendszerben és a Chrome böngészőben talált bugokért osztotta ki.