谷歌(微博)近日宣稱，從2010年推出Bug賞金計劃以來，它已發(fā)放了逾600萬美元獎金。僅在去年一年中，300多名安全研究員總共發(fā)現了750多個漏洞，谷歌給他們發(fā)送了逾200萬美元獎金。

　　Bug賞金計劃是對谷歌現有內部安全計劃的有益補充。它可以激勵個人和黑客群體發(fā)現谷歌服務中的漏洞，并以恰當的方式揭露這些漏洞，而不是利用這些漏洞搞破壞或銷售給第三方牟利。

　　自從推出以來，谷歌的Bug賞金計劃一直在穩(wěn)步發(fā)展。該公司每年發(fā)現的漏洞越來越多，發(fā)放的獎金也越來越多。谷歌的安全團隊在不斷地拓展該計劃的獎勵范圍，納入了越來越多的產品，并提供了更多的獎勵。

　　在2015年1月，谷歌的Bug賞金計劃納入了Android和iOS移動應用，并開始提供安全資助(即在安全研究員提交漏洞前就向其支付一筆費用)。例如，在得到谷歌的資助后，安全研究員卡米-西斯塔姆林(Kamil Histamullin)發(fā)現了YouTube創(chuàng)作者工作室(Creator Studio)有個安全漏洞，任何人均可以利用這個漏洞刪除YouTube網站上的任何視頻，他們只需要修改其網址上的一個參數即可。這個漏洞后來被消除了，西斯塔姆林也因此獲得了5000美元的獎金，這筆獎金還不包括他最開始獲得的研究資助。

　　然后在2015年6月，谷歌開始將Android設備納入其Bug賞金計劃。到去年底，谷歌已向發(fā)現Android設備漏洞的研究人員支付20萬美元獎金，其中包括該公司的最大一筆獎金：3.75萬美元。

　　谷歌還分享了2015年發(fā)生的兩則有趣的故事。

　　1. 在2015年，研究成果最豐碩的安全研究員托馬斯-博雅斯基(Tomasz Bojarski)發(fā)現了谷歌服務中的70個漏洞。他甚至發(fā)現谷歌讓安全研究員們提交安全漏洞的網絡表格中也存在安全漏洞。

　　2. 安全研究員桑美•韋德(Sanmay Ved)發(fā)現谷歌域名Google.com尚未注冊，于是花費12美元成功買下了這個域名。谷歌原計劃給他獎勵6006.13美元(這個數字看起來與谷歌的拼寫很像)，但當該公司發(fā)現韋德準備將這筆獎金捐給慈善機構時，它將獎勵金額提高了一倍。

　　Facebook、谷歌和微軟均高調推出了Bug賞金計劃。一些較小的公司也開始推出這樣的計劃。其實，在安全問題方面，最好的做法是：我們能及時發(fā)現和解決安全漏洞，而不是等到這些漏洞變成大問題后再行解決。給安全研究人員發(fā)放的獎勵金額，相對于安全災難發(fā)生后的補救成本來說，簡直微不足道。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。