漏洞奖励计划一直以来致力于用金钱的方式，鼓励安全研究人员提供漏洞报告并协助加固软件。2018年已经来临，据说经历了过去的一年，研究员们也收获了一个“鼓鼓囊囊”的钱包了——据悉，在2017年谷歌的漏洞奖励计划已经为其漏洞支付了290万美元的奖励金额。

• 2017年 8月, 研究员龚广提交了一个针对Pixel的漏洞利用，可以组合Chroem render的远程代码注入与 Android的沙盒逃逸，来攻破大部分的安卓手机. 他也因此获得了该年度最大的漏洞奖励金额：$112,500.
• 研究员 gzobqq 因 Chrome OS guest 模式下的远程代码漏洞 获得谷歌 $100,000 奖金
• 研究员 Alex Birsan发现了 Google Issue Tracker数据权限问题，获得了15,600 美元奖金

谷歌漏洞奖励项目，最大单笔奖励11万美元

谷歌的漏洞奖励金额从500美元至100000美元不等，按照不同的奖励金额和时间花费进行了划分。谷歌还提供了漏洞研究补助项目、安全补丁奖励等等，前者为 2017 年选出的全球 50 名安全研究员提供了125000 美元的奖金，而在后面一个项目中谷歌为开源软件的安全修复提供 50000 美元的资金。

而2017年最大的单笔奖励金额为 112500 美元，这笔奖励包含在谷歌的安卓安全奖励项目之中，提供给一名发现Pixel 手机漏洞的中国安全研究员。

由于该组合漏洞的影响面广，未修复前大部分安卓手机都可能会被黑客利用这个组合漏洞攻破。其次，该漏洞是基于底层系统存在的，造成的危害最大，不法分子可利用该漏洞获取用户短信验证码、支付应用权限等，对用户的个人隐私和财产都造成极大威胁。及时发现漏洞修补漏洞，对于整个谷歌生态都会较大的积极作用。

持续扩大漏洞奖励项目规模

在发布此漏洞奖励之后，谷歌持续扩大漏洞奖励项目的规模，来吸引更多的人员参与项目。去年，Google 在远程内核漏洞奖励项目中提供的奖励金额从 3万 美元到 15 万美元不等，属于远程内核漏洞中的最高奖励。

漏洞奖励项目的覆盖面也已经拓展到了谷歌产品线的方方面面：Chrome、安卓系统 等等。在 2017 年 10 月他们的还发起了Google Play Store上流行应用程序的安全状态追踪项目。

在漏洞奖励项目中，谷歌还在与其他企业自有的漏洞计划展开合作，如通用汽车，Airbnb，万事达以及五角大楼计划。一些初创企业也在建立和管理平台式的安全中心和漏洞奖励计划，Bugcrowd 和 Hackerone 在2012年建立，迄今为止融资金额超 7500 万美元。

*参考来源：techcrunch，Elaine整理，转载请注明FreeBuf.COM