Увеличено вознаграждение за найденные в Chrome ошибки
🕛 24.04.2012, 13:32
Программа финансовых выплат Vulnerability Reward Program действует с ноября 2010 года. Вознаграждение можно получить за уязвимости в любом продукте Google: это браузеры Chrome и Chromium, а также все веб-сервисы на доменах *.google.com, *.youtube.com, *.blogger.com и *.orkut.com. Первоначально сумма вознаграждения за каждый баг составляла $500, а серьёзные уязвимости оценивались в $1337. В июле 2011 года сумма вознаграждения за самые опасные дыры была увеличена до $3133,7, но за остальные осталась $500. Нынешнее повышение цен — самое существенное. Новый прайс-лист опубликован ниже.
Максимальную награду $20 тысяч можно получить, если обнаружить возможность удалённого исполнения кода в любом приложении Google, кроме «низкоприоритетных». Вдвое меньшую сумму выплачивают за SQL-инъекцию или эквивалент на любом существенном сервисе Google, а также за существенный баг с обходом процедуры аутентификации или утечкой информации на accounts.google.com.
Дешевле всего оплачиваются уязвимости в приобретённых продуктах, недостаточно интегрированных продуктах и других «сайтах низкой важности» (например, Google Art Project и ему подобные). Вознаграждение за баги в приобретённых продуктах выплачиваются только после истечения шестимесячного срока с момента их приобретения.
По итогам первого с лишним года действия программы было получено 1100 сообщений об уязвимостях разной важности от более 200 человек. Из этого числа 730 уязвимостей были оплачены на общую сумму около $410 тыс. К настоящему моменту сумма выплат уже превысила $460 тыс., а с новыми тарифами она будет расти гораздо быстрее.