Bleeping Computer 網(wǎng)站披露，2022 年，谷歌通過(guò)漏洞獎(jiǎng)勵(lì)計(jì)劃支付了有史以來(lái)最高的漏洞獎(jiǎng)金，為安全研究人員報(bào)告的 2900 多個(gè)漏洞，支付超 1200 萬(wàn)美元。

2022年，谷歌漏洞獎(jiǎng)勵(lì)總額躍升至1200萬(wàn)美元 （來(lái)源：谷歌）

安卓漏洞賞金計(jì)劃

近期，谷歌發(fā)布了漏洞獎(jiǎng)勵(lì)計(jì)劃（VRPs）的統(tǒng)計(jì)數(shù)據(jù)，詳細(xì)概述了安全研究人員如何發(fā)現(xiàn)公司產(chǎn)品中安全漏洞以及獲得的漏洞賞金數(shù)額。

資料顯示，最大單筆報(bào)酬發(fā)給了 gzobqq ，其在提交的報(bào)告中詳細(xì)說(shuō)明了安卓系統(tǒng)中五個(gè)漏洞（CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20460）的利用鏈，一共獲得了 60.5 萬(wàn)美元的獎(jiǎng)勵(lì)。

值得一提的是，2021年，gzobqq 發(fā)現(xiàn)并報(bào)告了安卓系統(tǒng)中的另一個(gè)關(guān)鍵漏洞鏈，獲得了 15.7 萬(wàn)美元的獎(jiǎng)勵(lì)，該金額是當(dāng)時(shí)安卓系統(tǒng) VRP 歷史上最高的漏洞賞金。通常情況下，通過(guò)谷歌 VRP 提交安卓漏洞的賞金最高為 1 萬(wàn)美元，但對(duì)于漏洞鏈，提供者最高可獲得的賞金高達(dá) 100 萬(wàn)美元。

2022 年，谷歌為數(shù)百個(gè)安卓漏洞支付了 480 萬(wàn)美元的獎(jiǎng)勵(lì)，報(bào)告大多數(shù)漏洞的頂級(jí)研究人員主要是以下幾位：

• Bugsmirror 的 Aman Pandey：超過(guò) 200 個(gè)漏洞
• OPPO 琥珀安全實(shí)驗(yàn)室的 Zinuo Han：150 個(gè)漏洞
• Yu-Cheng Lin：近 100 個(gè)漏洞

2022 年，谷歌還通過(guò)其與安卓芯片組制造商合作提供的私人獎(jiǎng)勵(lì)計(jì)劃 ACSRP，為 700 份漏洞安全報(bào)告提供了 48.6 萬(wàn)美元的獎(jiǎng)勵(lì)。

Chrome 和 OSS 的獎(jiǎng)勵(lì)

2022 年，谷歌公司還為 Chrome 瀏覽器中的 363 個(gè)漏洞和 ChromeOS 中的 110 個(gè)安全漏洞支付了總計(jì) 400 萬(wàn)美元的賞金。

除了向研究人員發(fā)放獎(jiǎng)金外，谷歌還向 170 多名研究人員發(fā)放了超過(guò) 25 萬(wàn)美元的贈(zèng)款。這些資金用于關(guān)注谷歌產(chǎn)品和服務(wù)的個(gè)人研究員，即使他們沒有發(fā)現(xiàn)任何漏洞。

2022 年，谷歌為通過(guò)漏洞獎(jiǎng)勵(lì)計(jì)劃提交的報(bào)告支付了 703 名研究人員的費(fèi)用，并成為 NahamCon 和 BountyCon 安全相關(guān)會(huì)議的贊助商。