"程序员与Bug"的微妙关系,就算是外行人都能心领神会,但是很多人也许不知道有"Bug赏金计划"的存在。Bug赏金计划是指如果有人帮助安全研究员找到软件漏洞并报告,作为回报,相关公司会支付相当丰厚的回报。
那么,这笔报酬到底有多么丰厚呢?据悉,谷歌在2017年的Bug赏金总计支付了290万美元。根据错误类型和所花费的时间,奖励金额从500美元到100000美元,而且赏金计划还有很多种类,例如漏洞研究资助计划和补丁奖励计划,2017年谷歌共向全球50位研究院支付了12.5万美元的漏洞研究资助费用,同时为了提高开源软件的安全性,支付了总计5万美元的补丁奖励计划。
据悉,今年最大的奖金是112500美元,会作为Android安全奖励计划的一部分,用于追踪像素手机漏洞。Bug赏金猎人在软件安全生态系统中扮演着重要角色,帮助在黑客利用黑客之前发现一些最糟糕的漏洞。
出于这个原因,公司继续扩大它的bug奖励计划,并在需要时提供奖励,以争取更多的人参与。例如,谷歌从3万美元到15万美元,是去年发现远程内核漏洞的最高奖励。这应该激励更多的研究人员在那里继续寻找。
Bug赏金计划在各种Google产品中均有计划露出,Chrome和Android上都有程序,10月份,谷歌推出了一个程序来跟踪Google Play商店中一些最流行的应用程序的安全问题。
当然,Bug赏金计划并非只有谷歌在做,世界上知名的公司几乎都有自己的Bug赏金计划,例如通用汽车、Airbnb、Mastercard和等等。有一些初创公司已经在开发构建和管理bug赏金计划的平台。其中包括和,他们帮助客户构建类似于谷歌Bug赏金计划的平台。
发现Bug不仅是研究人员能够获得货币形式的回报,而且它还是社区的重要组成部分,Bug赏金猎人的存在能够大大减少社区大Bug的出现频率。每个软件平台都会存在着潜在问题,在漏洞成为公共问题之前主动狙击,是降低损失的最好方式之一。
据悉,自2010年以来,谷歌Bug赏金计划共计支付了1200万美元。