Гугл объявляет, что оплатит за данные о недостатках ПО в ОС Android, и поболее подробные отчеты получат более высокие вознаграждения.«Мы считаем, что планируем быть талантливыми повысить уровень качества всех приложений на платформе», сообщил он. «Мы желаем удостовериться, что, так как исследователи находят эти неприятности кодирования, они говорят нам о них».Первоначально, программа применится лишь к последней версии операционной системы Android, трудящейся на собственных телефонах Гугл, Nexus шесть и Nexus 9, заявила компания.«Самое высокое [сумма] с позиций выплачивания [для] единственной неприятности – если они снабжают неточность, и патч, и тест и цепочку применения – что образовывает в целом тридцать восемь 000$», сообщил Людвиг. «Мы желаем вправду дать людям стимулирование для нахождения этих неприятностей».
Гугл оплатит тысячи долларов исследователям, которые находят и информируют об уязвимостях в Android мобильная ОС как часть новой программы субсидии неточности, о которой объявляет компания шестнадцать июня.Безопасность Android Бонусная программа будет третьей инициативой субсидии неточности Гугл. Компания имеет две вторых премиальных программы и выплатила больше чем $1,5 миллиона в прошедшем сезоне исследователям. Сейчай Гугл платит за уязвимости совокупности обеспечения безопасности, отысканные в веб-браузере Chrome в соответствии с его Премиальной Программой Chrome и случайной борьбой Хрома.
Гугл Vulnerability Reward Program (VRP), его вторая программа субсидии, платит финансовый приз исследователям, которые находят недостатки в Веб-сайтах компании, включая Гугл.com, YouTube.com и Блоггера.Нужные исследователи для уязвимостей не являются новой идеей. В одна тысяча девятьсот девяносто пять Netscape начал инициативу оплатить программистам за нахождение неточностей в его новаторском программном обеспечении веб-браузера. В две тысячи два Verisign iDefense создал первую стороннюю программу, предложив платить исследователям за данные об неточностях в популярном программном обеспечении предприятия.
Сейчас, компании, такие как HackerOne и Bugcrowd, предлагают сторонние услуги, чтобы создать и руководить программами вознаграждения уязвимости.В случае если исследователь также обеспечит патч, метод протестировать на проблему либо осуществимый метод применять недостаток, то он либо она возьмёт больше денег. Наконец, в случае если исследователь может продемонстрировать, что уязвимость возможно использована удаленно либо ворваться в TrustZone (подход безопасности в масштабе всей совокупности), дополнительные бонусы будут оплачены.
С ее последней субсидией неточности компания увеличит собственную выплату для повреждения средств поиска для более подробных представлений уязвимости. Призы запускаются на уровне 500$ для умеренной неприятности, один 000$ для весьма значительной неприятности и два 000$ для уязвимости, которую разглядывают критически ответственной.Программа есть частью упрочнений компании укрепить платформу Android, сообщил Адриан Людвиг, ведущий инженер для безопасности Android в Гугл, eWEEK.Безопасность Android Бонусная программа основывается на формате, применяемом в известной ищущей неточность инициативе компании для ее веб-браузера Chrome.
Исследователи в области безопасности ПО, которые находят неприятности поддающиеся проверке и раскрывают их следующим инструкции компании, могут получить до тридцать восемь 000$ за проблему.Компания не оплатит за неточности, которые приложение либо попытку одурачить пользователя в щелчок по диалоговому окну, такому как социальная разработка либо tapjacking.
Помимо этого, сложность эксплуатации также будет причиной в определении, имеет ли неприятность право на субсидию, заявила компания.