Өткөн жылы Google'дун мүчүлүштүктөр үчүн сыйлык программасы анын өнүмдөрүндө жана кызматтарында коопсуздук кемчиликтерин тапкан изилдөөчүлөргө кеминде 12 миллион доллар сыйлык берген. Бул көрсөткүч 8,7-жылы төлөнгөн 2021 миллион доллардан бир топ жогору жана жакынкы жылдарда өсүшү күтүлүүдө. Компания азыр үчүнчү тараптын тиркемелерине багытталган жаңы программа менен коопсуздукту изилдөө аракеттерин кеңейтүүдө Android.
Ушул айдын башында Google Vulnerability Bounty программасын жаңыртты Android жана Google түзмөктөрү (VRP), ката жөнүндө отчеттордун сапатын баалоо үчүн жаңы системаны киргизип, олуттуу кемчиликтерди табуу үчүн максималдуу сыйлыкты 15 000 долларга чейин көбөйтөт. Компания ошол учурда телефондордогу коопсуздук кемчиликтерин оңдоону жеңилдете турганын түшүндүргөн. пиксел, Google Nest жана Fitbit түзмөктөрүндө, ошондой эле операциялык тутумда Android дагы өз убагында.
Ушул жумада компания Мобилдик Абалдарды Сыйлоо Программасын (Мобилдик VRP) ишке киргизди, ал программалардын коопсуздугун иликтөөгө кызыкдар изилдөөчүлөргө багытталган. Android, Google же Alphabet тобуна кирген башка компаниялар тарабынан иштелип чыккан.
Жаңы колдонмо үчүнчү тараптын колдонмолорун классификациялайт Android үч деңгээлде. Биринчи деңгээл Google Play Серви сыяктуу эң маанилүү тиркемелерди камтыйтces, Google Chrome, Gmail, Chrome Remote Desktop, Google Cloud жана AGSA (Google Издөө виджети Android). Экинчи жана үчүнчү деңгээлдерге Google'дун изилдөө бөлүмү, Google Samples, Red Hot Labs, Nest Labs, Waymo жана Waze тарабынан иштелип чыккан колдонмолор кирет.
Мобилдик VRP программасы камтылган коопсуздук кемчиликтеринин түрлөрүнө келсек, Google аны коддун ыктыярдуу аткаруусуна жана маалыматтарды уурдоого жол берген мүчүлүштүктөр эң көп кызыкдар экенин айтат, ошондуктан компаниянын коопсуздук инженерлери ошол отчетторго артыкчылык беришет. Ошол эле учурда, компания эксплуатация чынжырларынын бир бөлүгү катары пайдаланылышы мүмкүн болгон коопсуздуктун башка кемчиликтери, анын ичинде жолду басып өтүү же zip архивин өтүү кемчиликтери, жетим калган уруксаттар жана экспорттолбогон файлдарды ишке киргизүү үчүн колдонулушу мүмкүн болгон атайылап багыттоо жөнүндө билгиси келет. колдонмо компоненттери.
Сыйлык табылган кемчиликтердин оордугуна жана жабыркаган колдонмолорго жараша болот жана Google чабуулчуларга колдонуучунун кийлигишүүсүз алыскы кодду ишке ашырууга мүмкүндүк берген аялуу жерлерди тапканы үчүн 30 000 долларга чейин төлөөгө даяр. 2 жана 3-деңгээлдеги колдонмолор 25 000 жана 20 000 долларды түзөт. Квалификациялуу отчеттун минималдуу суммасы $500, бирок Google өзгөчө отчеттор үчүн $1 бонус колдоно алат.
Google'дун мүчүлүштүктөрдү оңдоо боюнча сыйлык программасы технология тармагындагы эң ири программалардын бири болуп саналат, ал 2022-жылы коопсуздук боюнча изилдөөчүлөргө 12 миллион доллар төлөнөт. Эң чоң сыйлык беш кемчиликтен эксплуатациялар тизмегин ачкан эксперт үчүн 605 000 долларды түзөт. Android.
Mobile VRPге кызыккан коопсуздук изилдөөчүлөрү бул жерден кененирээк маалымат таба алышат бул жерде. Google'дун айтымында, отчеттор кыска болушу керек жана мүмкүн болсо концепциянын кыскача далилин камтышы керек - мүчүлүштүктөр жөнүндө отчетторду кантип тапшыруу боюнча айрым көрсөтмөлөрдү бул жерден тапса болот бул жерде.
Ошондой эле окуңуз: