في عام 2021 ، وزع برنامج مكافآت الثغرات الأمنية من Google 8.7 مليون دولار على 119 باحثًا في مجال الأمن

قد تكشف مخططات المكافآت Bug-bounty الكثير عن استعداد الشركة للتعاون مع محققي السلامة الآخرين للعثور على الأخطاء الأمنية وإصلاحها في خدماتهم لأنها قد تؤدي إلى تعرضهم للاعتداءات التي تستهدف تقنيتهم.

تدير Google برامج مكافآت الثغرات الأمنية (VRPs) لأنظمة Android و Play و Chrome وغيرها من الخدمات لتحسين أمان النظام. في عام 2021 ، زادت المؤسسة أجور باحثيها من 2 مليون دولار لتصل إلى 8.7 مليون دولار.

في العام الماضي ، كان أكبر عائد هو 157000 دولار لفضح ثغرة أمنية في Android. دفعت شركة Tech العملاقة ما يقرب من 3 ملايين دولار من مكافآت الأخطاء للخبراء الذين كشفوا عن عيوب في إصدار Android ، ولكن لم يتم بعد جمع حافز 1.5 مليون دولار لمشكلات شرائح أمان Titan-M من Pixel.

في عام 2021 ، كشفت الشركة أيضًا عن ظهور بوابة Bug Hunters الجديدة على bughunters.google.com ، والتي ستسرع أيضًا من الإبلاغ عن الأخطاء من خلال الجمع مع جميع VRPs للشركة ، مثل Google و Android و Abuse و Chrome و Google Play. علاوة على ذلك ، فإنه يوفر بيانات مصممة خصيصًا لمساعدة المحققين في شحذ قدراتهم.

كان Chrome VRP في المقدمة مرة أخرى بمبلغ 3،288،000 دولار ، منها 3.1 دولار مخصصة لمشاكل المتصفح و 250،500 دولار مخصصة لنظام التشغيل Chrome. كانت أعلى جائزة لنظام التشغيل Chrome هي 45000 دولار ، وتم منح 115 خبيرًا بشكل عام.

جاء Android في المرتبة الثانية حيث حقق 2،935،244 دولارًا من مكافآت الأخطاء ، ارتفاعًا من 1.74 مليون دولار في العام السابق. تلقت "سلسلة استغلال تم الكشف عنها في Android جائزة قدرها 157000 دولار" ، وفقًا لأكبر جائزة Android VRP مسجلة.

تم منح مبلغ إجمالي قدره 296000 دولار للحصول على 220 تحذير أمان شرعي ومميز آخر نيابة عن برنامج مكافآت Android Chipset Security Reward (ACSRP) ، الذي تديره الشركة بالشراكة مع الشركات المصنعة لبعض شرائح Android الرئيسية الأخرى.

بالإضافة إلى ذلك ، تلقى أكثر من 60 خبيرًا في السلامة مبلغًا قدره 550 ألف دولار على شكل مدفوعات مكافأة الأخطاء بسبب ثغرة أمنية في Google Play.

منحت الشركة 175685 دولارًا أمريكيًا نيابة عن VRP لبرنامج Capture-the-Flag (kCTF) الشفاف المستند إلى Kubernetes ، والذي يعالج نقاط ضعف السلامة في المتطلبات المهمة التي يمكن الوصول إليها من Google Kubernetes Engine (GKE).

على العكس من ذلك ، كشفت معلومات جديدة من موظفي Project Zero في Google أنه في الفترة من 2019 إلى 2021 ، كشف محققو الأخطاء من فريق Project Zero التابع للشركة ، وكشفوا عن 376 عيبًا في الخصوصية في الأنظمة من مجموعة متنوعة من الموردين المختلفين.

وفقًا لدراسة الشركة ، تمت بالفعل معالجة 351 من العيوب ، في حين تم تحديد الباقي على أنه مشاكل لن يعالجها الموردون. في الفترة من 2019 إلى 2021 ، كشف فريق Project Zero عن 96 مشكلة ، تمثل 26٪ من جميع العيوب ، بما في ذلك خدمات Microsoft ، و 85 خطأً تتضمن iOS ، و 60 خطأً تؤثر على منتجات Google. ضمن هؤلاء المزودين ، كانت Google هي الأكثر استجابة للعيوب التي تم التحقيق فيها علنًا. يستغرق عملاق التكنولوجيا عادةً 44 يومًا لإصلاح الخلل ، مقارنة بـ 69 يومًا لشركة Apple و 83 يومًا من Microsoft.