发现并报告错误可以成为一个赚钱的爱好吗即使是白帽黑客也成功地将其作为职业。你也可以参与bug赏金计划,作为回报获得认可和经济奖励。谷歌例如,微软刚刚推出了一项针对开源软件的漏洞奖励计划。
什么是谷歌开源软件漏洞奖励计划?
考虑到全世界有多少组织依赖开源软件,开源软件需要保持安全。我们都看到了结果网络罪犯利用利用利用安全缺陷和漏洞——数据丢失、隐藏费用、银行账户受损、被盗cryptocurrencies等等。
随着使用开源软件作为攻击载体的黑客事件的上升,谷歌主动扩大了漏洞奖励计划,将开源软件包括在内。
具体来说,OSS VRP与存储在GitHub和其他一些平台上的谷歌公共存储库中的软件的最新版本有关。此外,程序范围的一部分是这些存储库的配置设置。
哪些bug和问题可以作为漏洞报告?
谷歌的OSS VRP将bug和漏洞分为三个主要项目层。重要性递减的是,这些是旗舰OSS项目、标准OSS项目和低优先级OSS项目。旗舰项目包括软件自动化工具Bazel、编程语言Golang和操作系统紫红色.
漏洞也被分为三类,供应链问题是最关键的,其次是产品漏洞和其他安全问题。
你可以通过漏洞奖励计划赚多少钱?
你所能获得的经济奖励取决于漏洞的严重程度和分类。例如,如果您报告一个旗舰OSS项目中的供应链问题,您可以得到高达31337美元的奖励。按我们当地货币计算,大约是176万php。最低奖励是100美元(约合5600 php)。在低优先级层下的项目,包括没有活动开发的存档项目,报告的bug不会得到补偿。
如果你不是为了钱,你可以选择把你的奖励捐赠给你选择的慈善机构。此外,公众的认可(如果你选择因为这份报告而受到赞扬的话)和寻找漏洞的经验对一些求职者来说可能是有用的。
由于制裁和法律问题,一些国家(如古巴和朝鲜)的居民没有资格获得奖励。谷歌及其附属公司的员工也不享受奖励。
作为参考,谷歌去年向bug赏金猎人分发了870万美元。
| 类别 | 旗舰操作系统 项目 |
标准操作系统 项目 |
低优先级的操作系统 项目 |
| 供应链 妥协 |
3134美元到31337美元 | 1336美元到13334美元 | - - - - - - |
| 产品缺陷 | 500美元到7500美元 | 101美元到3134美元 | - - - - - - |
| 其他安全问题 | 1000美元 | 500美元 | - - - - - - |
如何向谷歌报告漏洞和安全漏洞?
要提交报告,请访问谷歌产品表单页面专门为VRP.你需要创建赏金猎人的个人资料并登录,然后在五个步骤中填写必要的信息。你会被要求描述这个错误,它的位置,它导致的问题,以及受影响的产品或网站。其中一个步骤包括提供技术细节,例如复制错误的过程、概念验证和崩溃转储。
提交错误报告后,您将通过电子邮件收到确认。在接下来的14天内,谷歌的人将检查您的报告的有效性,并可能联系您了解更多细节。他们还将确定漏洞的严重程度。如果报告成功,我们会联系你关于奖励的事。
要了解更多关于OSS VRP的信息,请访问谷歌的官方Bug Hunters页面.