谷歌(微博)近日宣稱，從2010年推出Bug賞金計(jì)劃以來，它已發(fā)放了逾600萬美元獎(jiǎng)金。僅在去年一年中，300多名安全研究員總共發(fā)現(xiàn)了750多個(gè)漏洞，谷歌給他們發(fā)送了逾200萬美元獎(jiǎng)金。

　　Bug賞金計(jì)劃是對谷歌現(xiàn)有內(nèi)部安全計(jì)劃的有益補(bǔ)充。它可以激勵(lì)個(gè)人和黑客群體發(fā)現(xiàn)谷歌服務(wù)中的漏洞，并以恰當(dāng)?shù)姆绞浇衣哆@些漏洞，而不是利用這些漏洞搞破壞或銷售給第三方牟利。

　　自從推出以來，谷歌的Bug賞金計(jì)劃一直在穩(wěn)步發(fā)展。該公司每年發(fā)現(xiàn)的漏洞越來越多，發(fā)放的獎(jiǎng)金也越來越多。谷歌的安全團(tuán)隊(duì)在不斷地拓展該計(jì)劃的獎(jiǎng)勵(lì)范圍，納入了越來越多的產(chǎn)品，并提供了更多的獎(jiǎng)勵(lì)。

　　在2015年1月，谷歌的Bug賞金計(jì)劃納入了Android和iOS移動(dòng)應(yīng)用，并開始提供安全資助(即在安全研究員提交漏洞前就向其支付一筆費(fèi)用)。例如，在得到谷歌的資助后，安全研究員卡米-西斯塔姆林(Kamil Histamullin)發(fā)現(xiàn)了YouTube創(chuàng)作者工作室(Creator Studio)有個(gè)安全漏洞，任何人均可以利用這個(gè)漏洞刪除YouTube網(wǎng)站上的任何視頻，他們只需要修改其網(wǎng)址上的一個(gè)參數(shù)即可。這個(gè)漏洞后來被消除了，西斯塔姆林也因此獲得了5000美元的獎(jiǎng)金，這筆獎(jiǎng)金還不包括他最開始獲得的研究資助。

　　然后在2015年6月，谷歌開始將Android設(shè)備納入其Bug賞金計(jì)劃。到去年底，谷歌已向發(fā)現(xiàn)Android設(shè)備漏洞的研究人員支付20萬美元獎(jiǎng)金，其中包括該公司的最大一筆獎(jiǎng)金：3.75萬美元。

　　谷歌還分享了2015年發(fā)生的兩則有趣的故事。

　　1. 在2015年，研究成果最豐碩的安全研究員托馬斯-博雅斯基(Tomasz Bojarski)發(fā)現(xiàn)了谷歌服務(wù)中的70個(gè)漏洞。他甚至發(fā)現(xiàn)谷歌讓安全研究員們提交安全漏洞的網(wǎng)絡(luò)表格中也存在安全漏洞。

　　2. 安全研究員桑美•韋德(Sanmay Ved)發(fā)現(xiàn)谷歌域名Google.com尚未注冊，于是花費(fèi)12美元成功買下了這個(gè)域名。谷歌原計(jì)劃給他獎(jiǎng)勵(lì)6006.13美元(這個(gè)數(shù)字看起來與谷歌的拼寫很像)，但當(dāng)該公司發(fā)現(xiàn)韋德準(zhǔn)備將這筆獎(jiǎng)金捐給慈善機(jī)構(gòu)時(shí)，它將獎(jiǎng)勵(lì)金額提高了一倍。

　　Facebook、谷歌和微軟均高調(diào)推出了Bug賞金計(jì)劃。一些較小的公司也開始推出這樣的計(jì)劃。其實(shí)，在安全問題方面，最好的做法是：我們能及時(shí)發(fā)現(xiàn)和解決安全漏洞，而不是等到這些漏洞變成大問題后再行解決。給安全研究人員發(fā)放的獎(jiǎng)勵(lì)金額，相對于安全災(zāi)難發(fā)生后的補(bǔ)救成本來說，簡直微不足道。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系我們，本站將會在24小時(shí)內(nèi)處理完畢。