自 2010 年推出除虫赏金项目以来,谷歌已经向安全研究人员支付了超过 1500 万美元的奖励。今天,这家科技巨头宣布进一步拓展 google play 安全奖励项目(gpsrp)的范围,以覆盖上亿的 android 应用程序。与此同时,谷歌与 hackerone 合作推出了开发者数保护奖励(ddprp)项目,适用于针对 android 应用、oauth 项目、以及 chrome 扩展程序的数据滥用。
(图自:google,via venturebeat)
谷歌认为,除虫奖励项目是其内部安全计划的一个有力补充,能够激励个人和安全研究机构帮助其找到缺陷并正确地披露,而不是将之在灰色市场兜售或恶意使用。
与其等到发生难以挽回的严重后果,还是掏钱奖励安全研究人员来得划算。此外,在今天的更新发布之前,谷歌还于上月增加了 chrome 浏览器、chrome os、以及 google play 的安全研究奖励。
截至目前,google play 安全奖励(gpsrp)项目已经向安全研究人员支付了超过 26.5 万美元的赏金。随着该项目覆盖更多热门的应用,未来谷歌有望拿出更多的预算。
同时,谷歌还在努力提升自动筛查漏洞的技术能力,为 google play 中的所有应用查找类似的漏洞。如有应用开发者受到影响,可通过 play 控制台接收到相应的通知。
据悉,谷歌的应用安全改进(asi)项目,能够为开发者提供与漏洞及其修复方法相关的信息。
今年 2 月的时候,谷歌透露 asi 项目已帮助超过 30 万名开发者,在 google play 上修复了超过 100 万个应用。
至于新增的开发人员数据保护奖励(ddprp)计划,旨在识别和减轻针对 android 应用、oauth 项目、以及 chrome 扩展程序中的数据滥用问题。
若研究者可体征验证明确的数据滥用,谷歌将会根据 ddprp 的奖励方案给予一定的报酬,因为该公司对用户数据被外使用或出售等情况尤为关切,最高可送上单笔 5 万美元的奖金。
那些被认定存在数滥用行为的 android 应用和 chrome 扩展程序,不仅会被 google play 和 chrome 网上应用店下架,其开发者也会被限制对相应 api 的访问。
试用申请