2月13日消息，據(jù)外媒報道，在對2021年漏洞獎勵計劃(VRP)進行的年度審查中，搜索巨頭谷歌宣布，該公司去年共向安全研究人員發(fā)放了超過870萬美元懸賞，以獎勵他們谷歌產(chǎn)品中報告的數(shù)千個漏洞。

　　這個數(shù)字高于谷歌在2020年支付給安全研究人員的670萬美元賞金。其中，300萬美元針對安卓漏洞，330萬美元針對Chrome瀏覽器漏洞，50萬美元針對Google Play Store漏洞，31萬美元針對Google Cloud漏洞。

　　谷歌還表示，2021年總共有696名研究人員獲得賞金，其中數(shù)額最高為15。7萬美元，獎勵其發(fā)現(xiàn)安卓漏洞鏈。不過，沒有人獲得谷歌在2019年首次設(shè)定的150萬美元懸賞，該獎授予任何成功侵入谷歌Pixel智能手機附帶安全芯片Titan M的人。

　　以下為谷歌博客文章全文：

　　2021年是我們漏洞獎勵計劃(VRP)的又一個創(chuàng)紀錄年份。在整個2021年，我們與安全研究人員社區(qū)合作，識別和修復數(shù)千個漏洞，幫助確保我們的用戶和互聯(lián)網(wǎng)的安全。

　　多虧了這些才華橫溢的研究人員，谷歌各項漏洞項目獎勵金額持續(xù)增長。我們很高興地報告，在2021年，我們發(fā)放了破紀錄的870萬美元漏洞獎勵，研究人員將超過30萬美元的獎勵捐贈給了他們自主選擇的慈善機構(gòu)。

　　我們還在2021年推出了這是個致力于確保谷歌產(chǎn)品和互聯(lián)網(wǎng)安全的公共研究門戶網(wǎng)站。這個新平臺將我們所有的VRP(Google、Android、Abuse、Chrome和Google Play)更緊密地聯(lián)系起來，并提供了統(tǒng)一的接收表單，使安全漏洞提交變得比以往任何時候都更容易。我們對新的Bug Hunters門戶提供的一切都感到興奮，包括：

　　——通過游戲化、每個國家列出排行榜、特定漏洞獎勵以及發(fā)放徽章等等，提供更多的互動機會并促進良性競爭！

　　——打造更實用、更美觀的排行榜。我們知道許多人正在利用自己在VRP中的成就來找工作(我們也正在招聘！)。我們希望這是個有用的資源。

　　——更加強調(diào)學習：漏洞獵人可以通過我們新的Bug Hunter University提供的內(nèi)容來提高他們的技能。

　　——簡化出版流程：我們知道知識共享給我們社區(qū)帶來的價值，這就是我們想讓你們更容易發(fā)布漏洞報告的原因。

　　——我們現(xiàn)在提供贈品！在Twitter和Tag@GoogleVRP上分享這篇博文的前20個人將獲得獎券，可以在他們的DM中獲得禮品券。

　　與往年一樣，我們正在分享我們所有項目的2021年統(tǒng)計數(shù)據(jù)，細節(jié)如下：

　　1、安卓系統(tǒng)

　　安卓VRP在2021年的獎金額度近300萬美元，比2020年翻了一番，同時也誕生了安卓VRP歷史上最高的懸賞紀錄：有人在安卓中發(fā)現(xiàn)漏洞鏈從而獲得了15。7萬美元獎金！

　　針對我們Pixel設(shè)備中使用的Titan-M安全芯片，我們制定了行業(yè)領(lǐng)先的150萬美元漏洞懸賞，但目前仍無人認領(lǐng)。

　　我們還推出了安卓芯片組安全獎勵計劃(ACSRP)，這是谷歌與某些安卓芯片組制造商合作提供的漏洞獎勵計劃。這是個私人的、僅限受邀參加的項目，是對投入時間和精力幫助使安卓設(shè)備更安全的研究人員提供的獎勵和認可。2021年，ACSRP為220多份有效和獨特的安全報告支付了29。6萬美元獎金。

　　2、Chrome瀏覽器

　　今年，Chrome VRP也創(chuàng)造了不少新紀錄，115名Chrome研究人員因2021年提交的333份安全漏洞報告而獲得獎勵，總金額達330萬美元。這些貢獻不僅幫助我們改進了Chrome，而且通過增強所有基于Chromium的瀏覽器安全性，也提高了整個網(wǎng)絡(luò)的安全性。

　　在330萬美元獎勵中，310萬美元針對Chrome瀏覽器安全漏洞，250500美元針對Chrome OS漏洞，其中4。5萬美元針對個人Chrome OS安全漏洞，2。7萬美元是針對個人Chrome瀏覽器安全漏洞。

　　3、Google Play

　　Google Play向60多名安全研究人員支付了55萬美元獎勵。

　　Google Play安全獎勵計劃還發(fā)布了安卓應(yīng)用黑客研討會的內(nèi)容，并發(fā)表了一篇博客，介紹了他們?yōu)橹С窒乱淮沧繎?yīng)用安全研究人員所做的工作。

　　4、KCTF VRP

　　去年11月，我們擴大了針對我們KCTF集群攻擊的獎勵金額，從5000-10000美元增加到31337-50337美元。在過去的3個月里，我們很高興有幾位參賽者獲得了175685美元的獎勵。我們還將增加獎勵的時間表延長到2月14日(從1月31日開始)，這應(yīng)該會給更多人更多時間來發(fā)現(xiàn)漏洞。

　　5、GCP VRP

　　為了鼓勵安全研究人員關(guān)注谷歌云平臺，我們在2019年發(fā)起GCP VRP大獎。2021年3月，我們宣布了2020年該獎項的獲獎?wù)撸㈩C發(fā)了313337美元的獎金。去年，我們在Google Cloud平臺上也看到了許多令人驚嘆的研究，敬請關(guān)注2021年的獲勝者！

　　6、研究補助金

　　六年前，Google VRP啟動了一項實驗性的漏洞研究資助計劃，以鼓勵經(jīng)驗豐富的安全研究人員對谷歌產(chǎn)品和服務(wù)的安全性進行詳細而廣泛的研究。即使沒有發(fā)現(xiàn)漏洞，他們也可以獲得獎勵。六年后，我們很高興地宣布，在2021年，我們向世界各地的120多名安全研究人員提供了20多萬美元補助。

　　7、Project Zero

　　谷歌還發(fā)布了Project Zero的統(tǒng)計數(shù)據(jù)，這是該公司旗下漏洞獵人團隊，他們也向其他公司報告發(fā)現(xiàn)漏洞的情況。谷歌Project Zero團隊表示，他們發(fā)現(xiàn)修補安全漏洞所需的時間有所改善，通常需要52天，而三年前為80天。

　　未來展望

　　隨著新的Bug Hunters門戶網(wǎng)站的推出，我們計劃繼續(xù)改進我們的平臺，并聽取安全研究人員關(guān)于如何改進我們的平臺和Bug Hunter University的意見。（小小）