Bounty-programmet har blivit ett populärt sätt för utvecklare att spåra säkerhetsproblem i programvara, men stora betalningar är inte något som alla företag kan göra.
I ett försök att hålla Android-plattformen säker har Google tillkännagett att sitt eget buggottprogram utvidgas till att täcka alla större Android-applikationer, oavsett vem som har utvecklat den. Företaget kommer att belöna säkerhetsforskare som hittar buggar i alla applikationer i Google Play Store med 100 miljoner eller fler installationer.
Se även:
Genom att göra ändringar erkänner Google att inte alla applikationsutvecklare har ekonomiska medel för att stödja sitt eget bounty-program. Hans tro är att Google kommer att kunna automatisera processen för att kontrollera andra applikationer för samma problem när de hjälper utvecklare att hitta buggar i sin programvara.
Företaget tillkännagav utvidgningen av Google Play Security Rewards-programmet och sa:
Vi ökar GPSRP-täckningen för att inkludera alla applikationer på Google Play med 100 miljoner eller fler installationer. Den här applikationen är nu berättigad till utmärkelser, även om applikationsutvecklaren inte har sitt eget budsjettproblem eller ett program för avslöjande av fel. I detta scenario, Google hjälper avslöja sårbarheter identifieras på ett ansvarsfullt sätt till berörda applikationsutvecklare. Detta öppnar dörren för säkerhetsforskare att hjälpa hundratals organisationer att identifiera och korrigera sårbarheter i sina applikationer. Om utvecklaren redan har sitt eget program kan forskare samla in priser direkt från dem ovan priser från Google. Vi uppmuntrar applikationsutvecklare att börja avslöja sina egna sårbarheter eller buggprisprogram för att arbeta direkt med säkerhetsforskningssamhället.
Samtidigt arbetar Google också med HackerOne för att lansera utvecklingsprogrammet för dataskydd. Detta program är utformat för att belysa exempel på data övergrepp i Android-program, Chrome-tillägg och OAuth projekt. Google förklarar:
Detta program syftar till att belöna alla som kan ge tydliga och otvetydiga bevis för missbruk av data, i samma modell som Googles andra belöningsprogram för sårbarhet. Specifikt syftar detta program till att identifiera situationer där användardata används eller säljs oväntat, eller återanvändas på ett obehörigt sätt utan användarens samtycke. Om missbruk av data identifieras vara associerat med en Chrome-applikation eller tillägg tas programmet eller tillägget bort från Google Play eller Google Chrome Web Store. Om applikationsutvecklare missbrukar åtkomst till Gmail begränsade omfattning kommer deras API-åtkomst att tas bort. Även om det inte finns någon prisbordet eller högsta pris anges just nu, beroende på effekt, kan en rapport generera en vinst på $ 50.000.
Läs mer på webbplatsen för utvecklarens dataskydd.
