一起找BUG,谷歌推出全新漏洞悬赏平台
本文转载自量子位
漏洞赏金计划(VRP)是现在很多科技公司查找自家漏洞的主要方法之一。
就像谷歌的漏洞奖励计划自2010年底启动以来,在两千多名bug hunters的参与下,修复了1万余加的漏洞。
而这些bug hunters们也累计获得了近3000万美金的奖励。
现在,谷歌为了庆祝推出漏洞奖励计划的周年纪念日、推进与更多bug hunters的合作,推出了他们的新平台:Google Bug Hunters。
这个站点将谷歌所有的VRP计划(包括Google、Android、Abuse、Chrome和Play等产品或服务)进行统一管理,提供一个单一入口让大家更方便地提交bug。
新平台激励更多人找bug
工程师们花了大约两年的时间才搭建好这个平台,而一个bug hunter只花了几个小时就率先发现了这个平台的私有API接口。
尴尬的同时,谷歌也表示很欣慰。
Bug hunter们提交的每一份报告,将由总部位于瑞士和美国的谷歌安全工程师们进行亲自审核。
值得一提的是,这个审核小组里的部分成员就是通过向谷歌提交漏洞后被批准加入的。
为了激励更多人参与这个计划,网站还推出了排行榜来促进良性竞争。
可以按国家或时间查看获得奖励最多的hunters。
建这个排行榜的另一个目的,是网站知道很多人都靠VRP的成就来找工作,所以他们希望这个排行榜也能成为bug hunters们的一个“背书”。
除此之外,不管你是“找茬”的新手还是老手,网站还推出了Bug Hunter大学,帮助你提升找bug的能力。
它会给你介绍一些常见的bug“藏身之处”,你就可以从那些地方开始搜索目标。
为了节省双方的时间,它也告诉你哪些常见bug其实是无效的,不用提交。因为据统计提交上来的报告里有90%都没有实际意义。
另外还会教你如何清晰地写一份呈现完整场景的复现报告,这样也能方便审查人员对你发现的bug进行分类和评级。
最后,为了让大家更方便快捷地提交报告,网站还简化了演示流程。
介绍完了这个新平台,下面应该就是大家最关心的问题:具体规则如何?哪方面的bug可以提?一个bug能奖励多少钱?
下面就来简单介绍一下谷歌这个漏洞赏金计划的规则吧。
谷歌的VRP规则
官网上的规则可不少,且划分的很详细。我们就以Chrome为例:
首先是漏洞查找范围:
Canary版Chrome由于谷歌本身就会频繁回归测试,所以尽量多找Stable、Beta、Dev版上的bug;
谷歌提供或使用的第三方组件 (如PDFium、adobeflash、Linux内核)上也可以。
然后是查找bug和漏洞报告相关的一些注意事项:
(1)找到了bug就在自己的机子上测试,不要去别人那里搞破坏;
(2)除非是为了修bug不得以的情况下,不可将发现的bug提前公开,不然没赏金(一般情况 下,bug再被标记为”已修复”后的14星期后才公开)
(3) 所有报告现在都必须通过该平台按照统一的规则进行提交,不用额外加密;
且报告的质量非常重要,不然可能被判定无效,必须测试用例最小化、证明风险很大、分 析可能的原因、提供建议修补方法等。
(4)如果有多份相同的漏洞报告出现,由他们的跟踪器跟踪到的最早的提交为准;
(6)与谷歌相关业务有关的人员可能没有赏金资格;
最后就是大家最关心的赏金额度了:
总的来说,额度从500美元到15万美元不等,特殊情况会特殊分析。
一共10种类型的漏洞奖励,每一种漏洞按等级又有三档额度。
奖金最高的是“沙箱逃逸”(SandboxEscaper)、内存损坏。
ps.有太多网友觉得奖励越来越低了,所以导致不少人直接将漏洞出售给第三方。
当然,世界是如此参差,还有人对赏金完全不感兴趣。
所以官方表示,如果12个月仍未被认领的赏金将捐给慈善机构。
一起找BUG,谷歌推出全新漏洞悬赏平台相关推荐
- 极客日报:90后字节跳动员工内幕交易获利近5.5万,被罚50万;微信上线“小借条”功能;谷歌推出全新漏洞悬赏平台
一分钟速览新闻点! 微信上线"小借条"功能:提供规范模版.定期还款提醒等功能 90 后字节跳动员工内幕交易获利近 5.5 万,被罚 50 万元 华为造车高层出现人事变动,原手机团队 ...
- 谷歌推出全新漏洞悬赏平台
近日,谷歌宣布推出最新的漏洞悬赏平台--Google Bug Hunters,以便统一管理之前所有的 Vulnerability Rewards Program(VRP)计划下的漏洞报告,其中包括适用 ...
- JF希勒布兰德推出全新数字客户平台myHillebrand
西班牙巴塞罗那2018年10月8日电 /美通社/ -- 全球领先的饮料物流提供商JF希勒布兰德(JF Hillebrand)宣布,该公司推出全新数字客户平台. 推出myHillebrand乃是传统货运 ...
- 机器人简化图画手绘图_高通推出全新RB3 机器人平台,年内支持5G连接
在MWC 2019大会上,5G 成为了绝对的重量级主题.不过作为行业的佼佼者,高通不仅仅将重心放在处理器和基带上.外媒报道称,该公司刚刚发布了全新的 RB3 机器人平台.其采用基于骁龙的软件和硬件,旨 ...
- ROBEL:谷歌推出低成本机器人训练平台
点击我爱计算机视觉标星,更快获取CVML新技术 文 / Michael Ahn 软件工程师和 Vikash Kumar 研究员 Google 机器人团队 近年来,大量模拟基准(如 dm_control ...
- 离模拟世界又近一步!谷歌推出开源量子计算平台OpenFermion
李林 编译自 Google Research Blog 量子位 出品 | 公众号 QbitAI 各大公司前赴后继入局的量子计算,最初源于科学家一个朴实而宏大的愿景: 根据量子力学规则来操作一台计算机, ...
- 拉拢苹果用户,谷歌推出“从 iOS 转移到 Android” App
整理 | 孙胜 出品 | CSDN(ID:CSDNnews) 谷歌近期公布了 Android 12 的第三个测试版本,该版本给用户带来了实用功能跟优质体验,例如滚屏截图.增强的自动旋转和游戏" ...
- 谷歌叫你来找bug!不会的还包教!
Vulnerability Rewards Program,即漏洞赏金计划(VRP),是目前很多科技公司查找自家漏洞的主要方法之一.谷歌自其漏洞奖励计划年底启动以来,已经累计为全球2022名安全研究人 ...
- 【历史上的今天】10 月 22 日:微软发布 Windows 7;谷歌推出广告平台;静电复印机雏形
整理 | 王启隆 透过「历史上的今天」,从过去看未来,从现在亦可以改变未来. 今天是 2022 年 10 月 22 日,在 1994 年的今天,中国公用数字数据网(CHINADDN)正式建成开通,为如 ...
- 谷歌一年狂撒290万美元,邀请程序员来一起找Bug
"程序员与Bug"的微妙关系,就算是外行人都能心领神会,但是很多人也许不知道有"Bug赏金计划"的存在.Bug赏金计划是指如果有人帮助安全研究员找到软件漏洞并报 ...
最新文章
- 1.4亿围观!宝藏副教授火速走红:如果不喜欢我的研究方向,我可以改!
- 《sqlite权威指南》读书笔记 (一)
- ArcGIS中国工具(ArcGISCTools)3.2 安装教程(附安装包下载)
- linux c之strncpy函数和strncmp函数最简单使用总结
- 2020计算机顶级大会_2020年顶级远程调试工具
- layui第三方插件引入_插件分享 | 可以进行web爬虫的Xray插件(文章末尾有福利)...
- eclipse下没有build project的解决方法
- 关于eclipse中maven项目的问题
- android 删除系统服务,不ROOT卸载系统自带应用
- lighttp 配置php扩展包,Lighttpd配置
- 编译原理逆波兰式实验java_【实验三】—— 逆波兰式生成实验报告
- linux proftpd 用户,linux之proftpd搭建(随时盖楼)
- Android_水平滚动控件HorizontalScrollView
- ArcGIS 10.1 for Server安装教程系列—— Linux下的单机安装
- 1.1 OpenFlow 概述
- 9006:单链表的建立和遍历
- SpringDataJPA+Hibernate框架源码剖析(六)@PersistenceContext和@Autowired注入EntityManager的区别
- 统计学学习日记:L5-离散趋势分析之异众比率与四分位差
- JF-3型防火门氧指数测定仪
- ORA-00257: archiver error. Connect internal only, until freed 错误解决方案