漏洞奖励计划“ VRP”是许多科技公司发现自身漏洞的主要方法之一。
就像自去年年底Google的漏洞奖励计划启动以来,在2000多名错误和Hunters的参与下修复了10,000多个漏洞。
该网站将Google的所有VRP计划(包括Google,Android,Abuse,Chrome和Play等产品或服务)进行统一管理,并提供单一的访问以使每个人都更方便地提交错误。
工程师花了大约两年的时间才建立这个平台,而bug Hunter仅用了几个小时就率先发现该平台的私有API接口。
为了鼓励更多的人参与该计划,网站还发布了一份排名以促进良性竞争。
这个排名的另一个目的是网站知道许多人依靠VRP成就来找工作,因此他们希望该列表也能成为bug. Hunters的“背书”。
此外,您还将教你如何清楚地写一份完整场景的复现报告,以便审查人员可以对发现的错误进行分类和评级。
最后,为了使每个人更方便快捷地提交报告,该网站还简化了演示过程。
以下让我们简单介绍Google漏洞赏金计划的规则。
官方网站上有很多规则,并且非常详细。
所有报告现在都必须按照统一规则通过该平台提交,而无需加密;
必须测试用例最小化,证明风险很大,分辨率分析可能的原因以及提供建议修复方法等。
_如果出现多个相同漏洞报告,则其跟踪器追踪到的最早提交为准;
与Google相关业务相关的人员可能没有资格享受黄金;(5)与谷歌有关的员工可能会不获得奖励。
ps.太多网民认为奖励越来越低,因此许多人直接将漏洞卖给了第三方。
该平台将所有Google产品的漏洞奖励统一在一起,并添加了排名功能来激励安全人员参与悬赏。
IT Home获悉,谷歌表示在启动漏洞奖励计划的十年中,已从84个国家的2022名研究人员提交了11055个漏洞,共支付了2936万美元。
谷歌表示,Google Web Hunters奖励平台简化了发布过程并更容易报告漏洞。
领取专属 10元无门槛券
私享最新 技术干货