Google увеличивает вознаграждение, выплачиваемое исследователям безопасности, которые обнаруживают и сообщают об ошибках в Chromium, до 500 процентов, после того как объявила, что за три года она выплатила в общей сложности $2 млн в рамках программ вознаграждений за ошибки, охватывающих Chromium и веб-сайты, принадлежащие Google.
Сегодня программа Chromium значительно повышает уровни вознаграждений. В двух словах, ошибки, ранее вознаграждаемые на уровне $1000, теперь будут рассматриваться для вознаграждения до $5000. Во многих случаях это будет 5-кратное увеличение уровня вознаграждения! Мы будем выдавать более высокие вознаграждения за ошибки, которые, по нашему мнению, представляют более значительную угрозу безопасности пользователей, а также когда исследователь предоставляет точный анализ возможности эксплуатации и серьезности. Мы продолжим выплачивать ранее объявленные бонусы в дополнение, такие как за предоставление патча или обнаружение проблемы в критически важном фрагменте открытого исходного кода.
Этому предшествовали более ранние аналогичные повышения за сообщение об уязвимостях веб-сайтов в июне.
Хотя суммы денег, предлагаемые за сообщение об уязвимостях, значительно ниже тех, что можно было бы заработать, продавая эту информацию на черном рынке тем, кто использовал бы ее в недобросовестных целях, идея программ вознаграждений за ошибки заключается в том, что они побуждают тех, кто никогда не помышлял бы о неправомерном использовании информации, оперативно подавать отчеты. Многие крупные технологические компании предлагают баг-баунти, а Microsoft – долгое время сопротивлявшаяся – присоединилась месяц назад.
