谷歌（Google）宣布，對(duì)通過(guò)漏洞獎(jiǎng)勵(lì)計(jì)劃報(bào)告的系統(tǒng)和應(yīng)用程序中發(fā)現(xiàn)的漏洞的獎(jiǎng)勵(lì)金額將提高五倍，單個(gè)安全漏洞的新最高獎(jiǎng)勵(lì)金額為 151515 美元。

"谷歌表示："隨著時(shí)間的推移，我們的系統(tǒng)已經(jīng)變得更加安全，我們知道發(fā)現(xiàn)漏洞需要更長(zhǎng)的時(shí)間--有鑒于此，我們非常高興地宣布，我們將把獎(jiǎng)勵(lì)金額提高5倍。

新的最高獎(jiǎng)勵(lì)金額為 "在我們最敏感的產(chǎn)品中發(fā)現(xiàn) RCE，獎(jiǎng)勵(lì)金額為 101,010 美元，如果報(bào)告質(zhì)量?jī)?yōu)異，則獎(jiǎng)勵(lì)金額為 1.5 倍 = 151,515 美元"。）

只有從今天（世界協(xié)調(diào)時(shí) 7 月 11 日 00:00）開(kāi)始提交的漏洞報(bào)告才有資格使用新的獎(jiǎng)勵(lì)表獲得獎(jiǎng)勵(lì)。

除了提供更高的報(bào)酬外，該公司最近還擴(kuò)大了支付選項(xiàng)，包括通過(guò) Bugcrowd 收取報(bào)酬的可能性。

谷歌 VRP 規(guī)則中更新的 "獎(jiǎng)勵(lì)金額 "部分提供了有關(guān)谷歌更改獎(jiǎng)勵(lì)金額和新支付結(jié)構(gòu)的更多信息。

谷歌 VRP 的最新進(jìn)展

上周，谷歌推出了 kvmCTF，這是 2023 年 10 月宣布的一項(xiàng)新的 VRP，旨在提高基于內(nèi)核的虛擬機(jī)（KVM）管理程序的安全性。kvmCTF 專(zhuān)注于 KVM 管理程序中的虛擬機(jī)可觸及漏洞，并為完全虛擬機(jī)逃逸漏洞提供 25 萬(wàn)美元的懸賞金。

一年前，該公司還將 Chrome 瀏覽器沙箱逃逸鏈漏洞的獎(jiǎng)勵(lì)提高了兩倍，直至 2023 年 12 月 1 日。

自 2010 年推出漏洞獎(jiǎng)勵(lì)計(jì)劃（VRP）以來(lái)，谷歌已向報(bào)告了 15000 多個(gè)漏洞的安全研究人員支付了 5000 多萬(wàn)美元的賞金。

僅去年一年，谷歌就支付了1000萬(wàn)美元，其中最高的賞金支付給了一名賞金獵人，他獲得了113,337美元。

有史以來(lái)最高的 VRP 賞金為 60.5 萬(wàn)美元，是 2022 年支付給 gzobqq 的，因?yàn)樗麍?bào)告了安卓漏洞鏈中的五個(gè)安全漏洞。同一位安全研究人員在 2021 年報(bào)告了另一個(gè)重要的安卓漏洞鏈，獲得了 15.7 萬(wàn)美元的賞金。