像谷歌這種巨頭每年提供的漏洞獎金都是非常豐富的,提交單一漏洞有的甚至可以獲得高達10萬美元的獎金,這是因為對谷歌而言,支付足夠的金額可以吸引更多安全研究人員參與並完善產生減少安全問題。
在 2022 年谷歌向研究人員支付 1,200 萬美元的獎金,而在 2023 年谷歌支付 1,000 萬美元的獎金,盡管略低於 2022 年,不過這仍然是一筆非常可觀的獎勵。
![102814[1].png](https://cdn.115ip.com/attach/20240313/5b7e1d70c2297b2ff24bfdc2e34d32165f48a8a6.png)
谷歌公佈的數據顯示,2023 年谷歌共向 68 個國傢或地區的 632 名研究人員支付獎金,如果算平均的話,每個人獲得 15,822 美元的獎金。
不過這種算平均沒有意義,多數漏洞的獎金比較低,一些漏洞的獎金非常高,例如在 2023 年單一漏洞報告的最高獎勵是 113,337 美元 (約合人民幣 81. 萬元,註:這裡說的是單一漏洞報告而不是單一漏洞,一個報告可能涉及完整的攻擊鏈、裡面可能包含多個漏洞利用)
在 2023 年占比最高的依然是 Android 系統,谷歌為 Android 方面的漏洞支付 340 萬美元,為吸引更多研究人員幫助谷歌排查 Android 的漏洞,谷歌還將 Android 平臺的單一漏洞獎勵提高到最高 15000 美元的獎勵。
以下是谷歌對 2023 年漏洞賞金計劃的總結:
推出額外獎勵計劃,為特定目標提供額外獎勵 (例如在去年 6 月 1~12 月 31 日針對 Chrome 沙盒逃逸漏洞的獎金翻倍)
將額外獎勵計劃擴展到 Chrome 和 Cloud,其中以 v8 CTF 為重點,關註 Chrome v8 引擎的安全性
針對第一方 Android 應用程序的移動 VRP 啟用 (面向谷歌自傢預裝應用的安全計劃)
推出 Bughunters 博客,分享互聯網見解和安全措施
在東京舉辦 ESCAL8 安全會議,以現場黑客活動、研討會和講座為特色
自 2010 年谷歌啟動漏洞賞金計劃以來,谷歌累計支付的獎金高達 5,900 萬美元。