グーグル製品のセキュリティの脆弱性を見つけるのに役立つ独立したセキュリティ研究者(文字列が添付されていない)に支払うことを計画しています。
Google'sには「セキュリティリワードプログラム」があり、2010年以降Googleの脆弱性を発見するセキュリティ研究者に財政的に報酬を与えます。この新しいプログラムは、研究者が仕事を始める前にお金を与えられ、何も見つけられない場合はペナルティがないため、この新しいプログラムは異なります。
助成金へのボーナスとして、研究者は、ゼロデイのバグを開示または修正した場合、定期的な財政報酬の資格があります。このプログラムは、Googleの「トップパフォーマンス、頻繁な脆弱性研究者と招待された専門家」を対象としているため、これはアマチュアハッカーを対象としていません。 Googleはプログラムを実験として扱い、研究者の実績に基づいて研究者に信頼を置いています。
参照:
一流の研究者がすでに既存のセキュリティ報酬プログラムに関与することはがっかりしています。脆弱性研究助成金と呼ばれる助成金システムは、Googleの調査に参加するためのより良いインセンティブを提供することを目的としています。ブログ投稿。
賞は500ドルから3,133.70ドルの範囲です。補助金は、たとえば、新しく発売された製品など、さまざまな研究分野をカバーしています。 Googleは持っていますそのウェブサイトの指示資金調達に興味がある人のために。 Googleは、最終的にどのくらいのお金がプロジェクトに投入されるかを知りません。
Googleは2010年にプログラムが開始されて以来、研究者に400万ドルの報酬を与えました。2014年だけで、Googleはバグ開示のための150万ドルの報酬を支払いました。
Googleが時間の経過とともにセキュリティ調査を強化したため、同社はセキュリティバグを発見することがより困難であると感じました。それは、Googleのセキュリティが良くなっているか、適切な場所を見ていないためかもしれません。ある意味で、この新しいプロジェクトは、セキュリティヘルプのためのグーグルのクラウドソーシングの方法です。
同社はまた、Google PlayとApp Storeで利用可能なすべてのアプリが現在報酬プログラムの範囲にあることを発表しました。
Googleは、内部だけでなく、主要な優先事項の1つとしてオンラインセキュリティを宣伝しています。 Tech Giantには、Nongoogle製品のセキュリティ問題を公開するProject Zeroと呼ばれる専用のイニシアチブがあり、企業に存在することを通知します。
Project Zeroは、MicrosoftやAppleなどの有名企業のセキュリティ上の欠陥を明らかにしています。具体的には、マイクロソフトプロジェクトゼロに対する一般の不満を表明しており、実際のセキュリティ上の懸念よりも「ゴッチャ」宣伝についてのように見えることがあると主張しています。
