?バグのために4百万ドルを支払った後、Googleは疑わしいが証明されていない欠陥

Googleは新たな脆弱性研究助成プログラムを開始し、潜在的な脆弱性を調査したいセキュリティ研究者の一人一人に瑕疵が見つからなくても、現金を提供している。

新しい「実験的な」脆弱性研究助成プログラムは、Googleのセキュリティ報酬プログラムに第4層を追加します。 2010年に開始されたこのプログラムは、Googleのウェブサイト、Chromeブラウザ、および多数のオープンソースプロジェクトでバグを発見するために、研究者に400万ドル以上を払っています。

しかし、Googleの他の報酬とは違って、セキュリティ研究者はバグを提出する前に問題を調査するための「前向き賞」を申請することができるようになります。欠陥の調査に時間を費やすが、問題を見つけることができない研究者を奨励することを意味する。

GoogleのMacチームはホリデーシーズンを開始した。サンタは、Macの巨大な艦隊でいたずらに美しいものを探し出すツールだ。

利用可能な最大助成金は$ 3,133.70で、GoogleセキュリティエンジニアのEduardo Vela Navaによれば、「研究が始まる前に、文字列を付けずに」利用できるようになっている。研究者は、プロセス中に発見したバグに対して定期的な報酬を受ける資格があります。

このプログラムは、新たに立ち上げられた機能や製品のセキュリティ研究、Google検索、Gmail、Inboxなどの非常に機密性の高いサービスなど、3種類の助成金にアクセスできる既存の「トップパフォーミング」バグ記者および招待された専門家に公開されています。 Chromeウェブストア、最近修正された脆弱性などがあります。

助成金を受け取ったがバグを見つけられないということは、将来研究者に助成金が与えられる可能性には影響しないとGoogleは指摘する。しかし、Googleは、調査作業が完了した後、受信者が調査を完了することを期待しています。研究者は、Googleがどのようなタイプの欠陥、製品、サービスを求めているかについても通知を受ける予定です。

Googleによると、昨年、200万人の異なる研究者にバグ報告のために$ 1.5M以上の報酬を支払った.150,000ドルという最も大きな報酬は、Chrome OSの防御を壊したという有名なiPhoneとPlayStationのハッカーGeorge Hotz。

GoogleはChromeバグの報奨金を$ 15,000に上げ、GoogleはPatch Rewards Programを拡張し、Chrome OSのセキュリティホールを見つけてパッチを当てた

Facebookでの短期間の後、Hotzはソーシャルネットワーク会社をハッキングに戻してしまい、昨年7月には、90日間の厳しいポリシーを厳守してMicrosoftと対立していたGoogleのProject Zeroチームとのインターンシップを取った。

Googleはまた、脆弱性報酬プログラムの範囲を、Googleが開発し、Google Playやその他のチャンネルに配信するモバイルアプリを含むように広げました。

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています