В 2010 году Google запустила программы вознаграждений за уязвимости (VRP), в рамках которых исследователи безопасности могли отправлять прямые отчеты об ошибках. С платформой Google Bug Hunters компания закладывает основу для следующего десятилетия VRP.
Теперь у Google есть единый сайт для программ отчетности Google (сервисы), Android, Abuse, Chrome и Play. На bughunters.google.com имеется «единая форма приема, которая упрощает для исследователей отправку проблем».
Присутствует некоторая геймификация в виде общенациональных списков лидеров, которые «более функциональны и эстетичны», а также награды/значки за определенные ошибки. Визуальные улучшения и анимация на сайте очень приятны.
Тем временем компания также заявляет:
- Усиленный акцент на обучении: Исследователи ошибок могут улучшить свои навыки с помощью материалов, доступных в нашем новом Университете исследователей ошибок.
- Упрощенный процесс публикации: Мы знаем, какую ценность обмен знаниями приносит нашему сообществу. Именно поэтому мы хотим упростить для вас публикацию отчетов об ошибках.
- Фирменные сувениры теперь будут поддерживаться в особых случаях (мы вас услышали!)
За первое десятилетие Google вознаградила 11 055 ошибок от 2 022 исследователей из 84 стран на общую сумму 29 357 516 долларов. Только в 2020 году компания выплатила 6,7 миллиона долларов.
Когда мы запускали нашу самую первую VRP, мы понятия не имели, сколько действительных уязвимостей – если они вообще будут – будет отправлено в первый день. Каждый член команды дал свою оценку, предсказания колебались от нуля до 20. В итоге мы получили более 25 отчетов, чем были удивлены.
С момента своего создания программа VRP не только значительно выросла по объему отчетов, но и расширилась команда инженеров по безопасности, стоящих за ней – включая почти 20 исследователей ошибок, которые сообщили нам об уязвимостях и в итоге присоединились к команде Google VRP.