Vulnerability Reward Program(VRP)是 Google 为了提高其产品和服务的安全性,向找出漏洞的安全研究员支付奖金的一项计划。在 2021 年,Google 就通过 VRP 向安全研究员发放了 870 万美元的漏洞奖励。时间来到了 2023 年,Google 则是公布了 2022 年的年度回顾。
在 2022 年,Google 通过 VRP 共支付了 1200 万美元,相比 2021 年的 870 万美元,增长了约 40%。2021 年的 870 万美元曾是 VRP 计划的历史新高,如今则是再创新纪录。
这些安全研究员在 2022 年帮助 Google 修复了 2900 多个安全问题,其中还有一项单笔 60.5 万美元的漏洞奖励,而 2021 年最高的单笔奖励则是 15.7 万美元。
2022 年,Google 一共奖励了来自 68 个不同国家/地区的 703 名安全研究员(上图),虽说奖励金额提升了约 40%,但奖励人数则是跟 2021 相差不大, 2021 年这两个数字则是 62 个不同国家/地区的 696 名安全研究员(下图)。
Android
通过 VRP,Google 在 2022 年为 Android 系统所发现的安全问题一共发放了 480 万美元的奖金,其中包括之前所说的单笔 60.5 万美元奖励。
在这 480 万美元奖励中,还有 48.6 万美元用于 Android Chipset Security Reward Program(ACSRP),该计划由 Google 和 Android 芯片组制造商负责,有 700 多份漏洞报告通过该计划提交。
chrome
至于 chrome 相关漏洞,Google 在 2022 年总共支付了 400 万美元,包括为 chrome 浏览器的 360 个漏洞支付 350 万美元,以及为 chromeOS 的 110 个漏洞支付 50 万美元。
OSS
Google 作为开源领域的重要贡献者,在去年 8 月推出了专门针对开源软件(OSS)而设的 VRP,用于解决 Google 各种开源项目中的安全问题,由于这是一项推出时间还不太久的计划,目前 Google 只向大约 100 名研究人员发放了 11 万美元的奖金。
为了更大程度地保护自身产品和服务的安全,Google 还将进一步扩大 VRP 的适用范围,未来包括最新版本的 Google Nest(智能家居设备)和 Fitbit(可穿戴设备)也将被纳入漏洞奖励。
Google 在博客中表示,获得 VRP 奖励的研究人员还向慈善机构一共捐赠了 23 万美元。