Google的漏洞賞金計劃現(xiàn)已涵蓋所有大型Android應(yīng)用

漏洞賞金計劃已成為開發(fā)人員追蹤軟件安全問題的一種流行方式，但是巨額支出并不是每個公司都能負(fù)擔(dān)得起的。

為了維護其Android平臺的安全性，Google宣布將自己的漏洞賞金計劃擴展為包括所有大型Android應(yīng)用程序，而不論開發(fā)者是誰。

該公司將獎勵安全研究人員，這些安全研究人員在Google Play商店的任何應(yīng)用中發(fā)現(xiàn)1億甚至更多次安裝的漏洞。

在做出更改時，Google承認(rèn)并非所有應(yīng)用程序開發(fā)人員都有能力支持自己的錯誤賞金計劃。我們的信念是，在幫助開發(fā)人員發(fā)現(xiàn)其軟件中的錯誤時，Google將能夠自動檢查其他應(yīng)用程序是否存在相同問題。

該公司宣布擴大Google Play安全獎勵計劃，表示：

我們正在擴大GPSRP的范圍，以包括Google Play中所有安裝了1億或更多安裝的應(yīng)用。這些應(yīng)用程序現(xiàn)在有資格獲得獎勵，即使應(yīng)用程序開發(fā)人員沒有自己的漏洞披露或漏洞賞金計劃。

在這種情況下，Google會負(fù)責(zé)任地向受影響的應(yīng)用程序開發(fā)者披露已發(fā)現(xiàn)的漏洞。這為安全研究人員打開了大門，可以幫助數(shù)百個組織識別和修復(fù)其應(yīng)用程序中的漏洞。

如果開發(fā)人員已經(jīng)擁有自己的程序，則研究人員可以在Google的獎勵之上直接從他們那里收集獎勵。我們鼓勵應(yīng)用程序開發(fā)人員啟動他們自己的漏洞披露或漏洞賞金計劃，以直接與安全研究人員社區(qū)合作。