Google zapłacił rekord 8 USD.7 milionów łowców błędów w 2021

W tej miarę Platformy Google Android, Chrome i Play nadal są bogatymi w podatność środowiskami dla złych aktorów do celu. W zeszłym roku Google zapłacił rekord 8 USD.7 milionów nagród dla 696 osób trzecich łowców błędów z 62 krajów, którzy odkryli i zgłosili tysiące luk w technologii firmy.

Streszczenie:

Google zapłacił rekord 8 USD.7 milionów nagród dla łowców błędów w 2021 roku. Łowcy błędów odkryli i zgłosili tysiące luk na platformach Android, Chrome i Play Google. Platformy te są bogatymi w podatność środowiskami dla złych aktorów do celów.

Kluczowe punkty:

  1. Google zapłacił rekord 8 USD.7 milionów nagród dla łowców błędów w 2021 roku.
  2. 696 osób trzecich łowców błędów z 62 krajów odkrytych i zgłoszonych luk w zabezpieczeniach.
  3. Platformy Android, Chrome i Play Google to środowiska bogate w podatność.

Pytania:

  1. Za jakie platformy zrobiły Google Pay Bug Hunters?
  2. Ile Google Pay Bug Hunters w 2021 roku?
  3. Ilu łowców błędów z różnych krajów zostało nagrodzonych przez Google?
  4. Co łowcy błędów odkryli i zgłosili?
  5. Które platformy są bogatymi w podatność środowiskami dla złych aktorów?
  6. Jaki był wzrost nagród polowania na błędy w porównaniu do 2020 roku?
  7. Ile unikalnych błędów w zakresie bezpieczeństwa chromu zostało zgłoszonych w 2021 roku?
  8. Ile zapłacono naukowcom za odkrycia Bug Chrome?
  9. Jaki jest cel programu Google Bug Bounty?
  10. Które projekty typu open source są zawarte w programie?
  11. Jakie były główne ataki łańcucha dostaw w 2021 r?
  12. Jakie jest zaangażowanie Google w cyberbezpieczeństwo?
  13. Co inne nagrody z błędami dodał Google przez lata?
  14. Jaki jest szerszy wysiłek prywatnych firm oprogramowania i rząd?
  15. Jaką usługę ogłosił Google, aby poprawić bezpieczeństwo open source?

Odpowiedzi:

  1. Google zapłacił łowcom błędów za luki na swoich platformach z Androidem, Chrome i Play.
  2. Google zapłacił rekord 8 USD.7 milionów łowców błędów w 2021.
  3. 696 Łowców błędów trzecich z 62 krajów zostało nagrodzonych przez Google.
  4. Łowcy błędów odkryli i zgłosili tysiące luk w technologiach Google.
  5. Platformy Androida, Chrome i Play Google są bogatymi w podatność środowiska dla złych aktorów.
  6. Nagrody na polowanie na błędy wzrosły o prawie 30% w porównaniu do 2020.
  7. W 2021 r. Zgłoszono 333 unikalne błędy bezpieczeństwa chromu.
  8. Google zapłacił 3 USD.3 miliony dla badaczy w celu odkrycia Chrome Bug.
  9. Celem programu Google Bug Bounty jest wzmocnienie bezpieczeństwa łańcucha dostaw oprogramowania.
  10. Bazel, Angular, Golang, Bufory Protocol i Fuchsia są zawarte w programie.
  11. Główne ataki łańcucha dostaw w 2021 r.
  12. Google zobowiązał się o 10 miliardów dolarów na poprawę bezpieczeństwa cybernetycznego i zabezpieczenie łańcucha dostaw.
  13. Google dodał nagrody Bug koncentrujące się na Chrome, Androida oraz innych produktach i projektach.
  14. Szerszy wysiłek prywatnych firm oprogramowania i rządu ma na celu poprawę łańcucha dostaw i bezpieczeństwa open source.
  15. Google ogłosił usługę o nazwie Assurped Open Source w celu poprawy bezpieczeństwa typu open source.

Uwaga: podane odpowiedzi są oparte na informacjach podanych w artykule i są napisane tonem osobistym i doświadczeniowym.

Google zapłacił rekord 8 USD.7 milionów łowców błędów w 2021

W tej miarę Platformy Google Android, Chrome i Play nadal są bogatymi w podatność środowiskami dla złych aktorów do celu. W zeszłym roku Google zapłacił rekord 8 USD.7 milionów nagród dla 696 osób trzecich łowców błędów z 62 krajów, którzy odkryli i zgłosili tysiące luk w technologii firmy.

Znajdź dziurę zabezpieczeń w open source Google, a możesz zapakować nagrodę 31 337 USD

Czy wystarczy, aby zapobiec następnego ataku łańcucha dostaw oprogramowania?

Wt 30 sierpnia 2022 // 22:58 UTC

Google stworzył program nagród, który nagrodzi tych, którzy znajdą i zgłaszają luki w swoich projektach typu open source, mam nadzieję, że wzmocnianie bezpieczeństwa łańcucha dostaw oprogramowania.

Program nagród podatności oprogramowania typu open source (OSS VRP) zapłaci łowcom błędów od 100 do 31 337 USD (Elelet, Elite . Geddit?), z najwyższymi płatnościami na „niezwykłe lub szczególnie interesujące luki”, według Googlers Francis Perron, menedżer ds. Programu technicznego Bezpieczeństwa Open Source i inżynier InfoSec Krzysztof Kotowicz.

Ponadto duże wypłaty zostaną przeznaczone do badaczy, którzy znajdą i zgłaszają luki w „najbardziej wrażliwych” z wytrzymałymi przez Google projekty typu open source: Bazel, Angular, Golang, Buffers Protocol i Fuchsia.

Projekty te są używane w kilku produktach Web Titan: na przykład język programowania wyświetlonego Google jest mocno używany w analizach do środowisk kontenerowych, podczas gdy jego urządzenia Fuchsia OS napędza inteligentne urządzenia, w tym gniazdo należące do Alphabet.

Po 2021 r., Który okazał się rokiem sztandarek dla atutów łańcucha dostaw i oprogramowania typu open source, najnowszy VPR Google poszukuje hakerów etycznych do domu w otworach bezpieczeństwa, które mogą prowadzić do kompromisu łańcucha dostaw i problemów projektowych, które powodują podatność na produkty, a także wyciekowie.

„W ubiegłym roku odnotowano 650% roczny wzrost ataków ukierunkowanych na łańcuch dostaw open source, w tym incydenty podsufitowe, takie jak Codecov i luka LOG4J, która wykazała niszczycielską potencjał pojedynczej podatności na open source”, napisali Perron i Kotowicz.

„Google OSS VRP jest częścią naszego zaangażowania w wysokości 10 mld USD w poprawę cyberbezpieczeństwa, w tym zabezpieczenie łańcucha dostaw w stosunku do tego rodzaju ataków zarówno dla użytkowników Google, jak i konsumentów open source na całym świecie” – dodali.

12-letni oryginalny VRP Google rozszerzył się na przestrzeni lat i dodał nagrody z błędami skupione na Chrome, Android i innych produktach i projektach. Na początku tego miesiąca, projekt Capture-the-Flag oparty na Kubernetes Google, który płaci naukowcom za wykorzystanie błędów w jądrze Linux, na stałe zwiększył wypłaty do maksymalnej nagrody w wysokości 133 337 USD.

W sumie Google wypłacił 8 USD.7 milionów nagród dla prawie 700 badaczy z różnych VPR w zeszłym roku.

  • Google’s Bug Bounty Boss: znajdowanie i łatanie vulns? „Całkowicie bezużyteczne”
  • Microsoft przebija Google dla wypłat nagrody z powodu błędów 2021-22
  • CIO w dużej mierze uważa, że ​​ich łańcuch dostaw oprogramowania jest wrażliwy
  • Prawda o tym projekcie prawa zakazującego wuja Sama kupującego oprogramowanie niepewne

Ten ruch jest również częścią szerszego wysiłku prywatnych firm oprogramowania, a także rządu federalnego w celu poprawy łańcucha dostaw i bezpieczeństwa open source.

W maju, po spotkaniu w Białym Domu, Google i garść innych dużych firm technologicznych ogłosiły zobowiązanie o wartości ponad 30 milionów dolarów na wdrożenie planu poprawy bezpieczeństwa łańcucha dostaw open source i oprogramowania. Niedługo potem Google ogłosił usługę o nazwie Assurted Open Source, która próbuje ułatwić przedsiębiorstwom zabezpieczenie zależności oprogramowania typu open source.

Podczas gdy dobrze prowadzone nagrody błędy są zawsze mile widziane, stosunkowo oszczędne wypłaty Google wyglądają nieco tanio w stosunku do gotówki w ofercie innych firm i konkurentów, nie wspominając o prywatnych nabywcach szukających naprawdę dobrych luk w zabezpieczeniach. ®

Google zapłacił rekord 8 USD.7 milionów łowców błędów w 2021

Chrome i Android Technologies firmy nadal były bogatymi w cel środowisk dla badaczy bezpieczeństwa z całego świata.

11 lutego 2022

Siedziba Google

Źródło: Achinthamb przez Shutterstock

Programy robocze mogą czasem powiedzieć tyle samo o chęci organizacji do pracy z zewnętrznymi badaczami bezpieczeństwa w celu identyfikacji i naprawy luk w zakresie bezpieczeństwa w swoich produktach, podobnie jak ich potencjalne narażenie na potencjalne ataki ukierunkowane na ich technologie.

W tej miarę Platformy Google Android, Chrome i Play nadal są bogatymi w podatność środowiskami dla złych aktorów do celu. W zeszłym roku Google zapłacił rekord 8 USD.7 milionów nagród dla 696 osób trzecich łowców błędów z 62 krajów, którzy odkryli i zgłosili tysiące luk w technologii firmy.

Kwota ta stanowi prawie 30% wzrost w stosunku do 6 USD.7 milionów nagród, że Google zapłacił łowcom błędów w 2020 roku. Niektóre z wzrostu dotyczyły wyższych wypłat dla niektórych rodzajów odkryć Bug. Ale wiele dotyczyło również stosunkowo dużej liczby wad, które naukowcy nadal odkrywają w niektórych podstawowych technologiach Google.

Więcej luk w zabezpieczeniach
Chrom jest jednym z przykładów. W 2021 r. Łowcy błędów, którzy wzięli udział w programie Google’s Veneribity Rewards Rewards, zgłosili w sumie 333 unikalne błędy bezpieczeństwa chromu – około 10% więcej niż 300 Chrome Bugs ujawnionych w 2020 r. W sumie Google zapłaciło 3 USD.3 miliony do 115 badaczy z całego świata, którzy znaleźli i zgłosili rozrywki Chrome wobec firmy w 2021 r. Że w porównaniu z 2 USD.1 milion nagród rok wcześniej, który sam był o 83% wyższy niż 2019. Większość (3 USD.1 milion) chromowych wypłat trafiło do badaczy, którzy zgłosili błędy bezpieczeństwa w przeglądarce Chrome. Google zapłacił 250 000 $ za błędy w Chrome OS, w tym najlepsza nagroda w wysokości 45 000 $ za jeden błąd eskalacji uprawnień.

Google Android OS nadal był bogaty w cel. W ubiegłym roku firma zapłaciła 3 miliony dolarów łowcom błędów, którzy zgłosili wady Androida, co było prawie podwojenia od 1 USD.7 milionów rok wcześniej. Tylko dwóch wiodących łowców błędów w programie Android Venaliability Rewards zgłosiło oszałamiające 360 ​​ważnych luk na Google w 2021 r. Jeden z nich, badacz Aman Pandey, złożył 232 luki, podczas gdy drugi, Yu-Cheng Lin, zgłosił 128 błędów. Google dokonał również najwyższej wypłaty za podatność na Androida w 2021 r

Pieniądze nagrody, które Google zapłacił łowcom błędów, którzy zgłosili luki w Google Play, również podwoiły się z 270 000 USD w 2020 r. Do 550 000 USD w 2021 r.

W 2021 r. Google uruchomił portal publiczny, który łączy wszystkie programy nagradzania podatności firmy, w tym dla Chrome, Android, Play. Według firmy portal ma na celu ułatwienie zgłoszeń błędów i zapewnienie badaczom uczestniczącym w programie więcej możliwości interakcji ze sobą.

Projekt Zero
Tymczasem nowe dane z Google, również opublikowane w tym tygodniu, pokazały, że łowcy błędów w zespole Zero Projektu odkryli i zgłosili 376 problemów bezpieczeństwa w technologiach należących do różnych innych dostawców w latach 2019–2021.

Analiza firmy wykazała, że ​​351 błędów zostało ustalonych, a pozostałe zostały oznaczone jako kwestie, których odpowiednie dostawcy nie naprawią. Dziewięćdziesiąt sześć błędów, czyli 26% całkowitej luki, które zespół Zero Zero odkrył w latach 2019–2021, obejmowało Microsoft Technologies, 85 było związanych z Apple, a 60 było powiązanych z Google Technologies. Wśród tych dostawców Google był najszybszy w rozwiązywaniu ujawnionych luk w zabezpieczeniach. Średnio firma zajęła 44 dni na naprawę wady, w porównaniu z 69 przez Apple i 83 dni dla Microsoft.

Bądź na bieżąco z najnowszymi zagrożeniami bezpieczeństwa cyber. Dostarczane codziennie lub cotygodniowe prawo do skrzynki odbiorczej e -mail.

Google, aby zapłacić 25 lakh, aby znaleźć błędy w swoich projektach typu open source

Google ogłasza nowy program nagród błędów (Reuters)

Gigant technologiczny Google uruchomił nowy program nagród błędów, w którym przyznaje do 31 337 USD (prawie 25 lakh) badaczom, którzy dostrzegają luki w projektach open source firmy. Nowo ogłoszony program nagrody podatności (VRP) skupi się na ustawieniach oprogramowania i repozytorium Google, takich jak działania GitHub, konfiguracje aplikacji i reguły kontroli dostępu.

W zależności od ciężkości podatności i znaczenia projektu, nagrody będą wynosić od 100 do 31 337 USD. „Najlepsze nagrody zostaną przeznaczone na luki w najbardziej wrażliwych projektach: Bazel, Angular, Golang, Bufory Protocol i Fuchsia” – powiedział Google.

Większe kwoty zostaną również przeznaczone do nietypowych lub szczególnie interesujących luk, „więc zachęca się do kreatywności”, powiedział Google podczas uruchamiania programu Rewardes Rewards Software Software Software Rewards (OSS VRP) (OSS VRP).

Jako opiekun głównych projektów, takich jak Golang, Angular i Fuchsia, Google jest jednym z największych współpracowników i użytkowników open source na świecie.

W ubiegłym roku Google odnotowano 650 procent rocznego wzrostu ataków ukierunkowanych na łańcuch dostaw open source.

Po dodaniu własnego programu nagrody Google (VRP) naukowcy można teraz nagrodzić za znalezienie błędów, które potencjalnie mogłyby wpłynąć na cały ekosystem open source.

Oryginalny program VRP był jednym z pierwszych na świecie i teraz zbliża się do 12. rocznicy.

„Z czasem nasza oferta VRP rozszerzyła się na programy koncentrujące się na Chrome, Android i innych obszarach. Łącznie programy te nagradzały ponad 13 000 zgłoszeń, o łącznej wartości ponad 38 milionów dolarów ” – powiedział Google w oświadczeniu pod koniec we wtorek.

Google zapłacił 12 milionom dolarów nagród błędów badaczom bezpieczeństwa

Google zapłacił 12 milionom dolarów nagród błędów badaczom bezpieczeństwa

Google w zeszłym roku zapłaciło najwyższą nagrodę za błędy w historii w programie nagrody za podatność za krytyczny raport łańcucha exploit, że firma wyceniła 605 000 $.

W sumie Google wydało ponad 12 milionów dolarów na ponad 2900 luk w swoich produktach odkrytych i zgłoszonych przez badaczy bezpieczeństwa.

Google w 2022 r. Zapłacił 12 milionów dolarów nagród za pośrednictwem programów nagradzania podatności

Nagrody z błędami z Androidem

Google opublikował statystyki dotyczące programów nagradzania podatności (VRPS) w 2022 r.

Największą wypłatą dotyczyła raportu opisującego łańcuch exploit pięciu błędów (CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20459, CVE-2022-20460) w Androida przesłanym przez GZOBQQ, który został nagrodzony z 605 000 $.

W 2021 r. Ten sam badacz odkrył i zgłosił kolejny krytyczny łańcuch exploit na Androidzie i otrzymał 157 000 $ – najwyższe nagrody z powodu historii Androida VRP w tym czasie.

Zazwyczaj nagroda za luki w systemie Androida przesłane za pośrednictwem Google VRP wynosi do 10 000 USD, ale za exploit łańcuchy firma płaci aż 1 milion USD.

W 2022 r. Google zapłacił 4 USD.8 milionów nagród za setki błędów z Androidem. Najlepsi badacze, którzy zgłosili większość luk w zabezpieczeniach, to:

  • Aman Pandey z BugsMirror – ponad 200 błędów
  • Zinuo Han z Oppo Amber Security Lab – 150 błędów
  • Yu -Cheng Lin – prawie 100 błędów

W ubiegłym roku Google przyznał również 486 000 USD za 700 raportów bezpieczeństwa za pośrednictwem programu Nagrody Bezpieczeństwa Chipsetów Android tylko na zaproszenie (ACSRP) – prywatny program nagrody, który Google oferuje we współpracy z producentami chipsetów z Androidem.

Nagrody Chrome i OSS

Firma zapłaciła również 4 miliony dolarów w 2022 r. Za 363 luki w przeglądarce Chrome i 110 problemów bezpieczeństwa w ChromeOS.

Google ogłosił, że w tym roku Chrome VRP rozpocznie eksperymenty i może oferować premiowe możliwości problemów bezpieczeństwa zgłoszonych w przeglądarce i Chromeo.

Program nagród dla produktów typu open source, które Google uruchomił w sierpniu 2022.

Oprócz nagród opłacanych badaczom, Google przyznał także ponad 250 000 USD w dotacji ponad 170 badaczom. Te fundusze są przeznaczone dla osób, które mają oko na produkty i usługi Google, nawet jeśli nie mają’t nie znajdź żadnych luk w zabezpieczeniach.

W 2022 r. Google zapłacił 703 badaczy za raporty przesłane za pośrednictwem programów nagradzania podatności i był sponsorem konferencji związanych z bezpieczeństwem Nahamcon i.