Программа по вознаграждению за выявление уязвимостей: 2023 год в обзоре

В 2023 году программы по вознаграждению за обнаружение уязвимостей Google (VRPs) распределили 10 миллионов долларов между более чем 600 исследователями в области безопасности по всему миру, подчеркнув важность общинно-ориентированных усилий в области безопасности. Google внедрила несколько улучшений в программы, включая бонусные награды за конкретные цели, расширенную программу поощрения эксплуатации, охватывающую Chrome и Cloud через v8CTF, и запуск Мобильной VRP, фокусирующейся на приложениях для Android. Мобильная VRP распределила более 3,4 миллиона долларов, с увеличением наград за критические уязвимости и включением Wear OS в ее охват. VRP для Chrome претерпела изменения, такие как введение MiraclePtr, что усложнило эксплуатацию некоторых уязвимостей, и запуск стимулов, таких как Награда за обход MiraclePtr и Бонус за полный цепочку эксплуатации. Google также провел свой ежегодный конференцию по безопасности, ESCAL8, включавшую живые хакерские события, тренинговые семинары и выступления экспертов. Компания признала вклады лучших исследователей в различные программы, подчеркнув таких индивидуумов, как Zinuo Han и Yu-Cheng Lin за Android, и топ-20 вкладчиков в VRP для Chrome. Для генеративного ИИ Google провел программу по поиску ошибок, которая привела к 35 отчетам и распределила более 87 000 долларов. В будущем Google остается приверженным сотрудничеству с сообществом безопасности, поощрению инноваций и укреплению безопасности своих продуктов и услуг.