O Google comemorou o décimo aniversário do seu programa de recompensas para a localização de vulnerabilidades anunciando uma nova plataforma de ‘bug bounty’ e a sua Bug Hunter University – uma plataforma de recursos de conhecimento destinados aos caçadores de vulnerabilidades e de recompensas. Nesses dez anos, os resultados do programa foram os seguintes:
- Total de bugs recompensados: 11.055
- Número de pesquisadores premiados : 2.022
- Número de países representados: 84
- Total de recompensas pago: US$ 29.357.516
A nova plataforma se chama Bug Hunters e integra todos os programas de recompensas: Google, Android, Abuse, Chrome e Play. Entre as alterações está o formulário único de inscrição, que torna mais fácil para os caçadores de bugs enviarem relatórios.
Veja isso
Plataforma de bug bounty brasileira já tem 2 mil especialistas
Sony abre bug bounty para vulnerabilidades no PlayStation 4
No post que descreve as novidades, o Google esclareceu alguns aspectos menos conhecidos do programa, tais como:
- O envio de patches para software de código aberto é elegível para uma recompensa
- Há recompensas por artigos de pesquisa sobre segurança de código aberto
- Software de código aberto pode ser candidato à obtenção de subsídios
Quando o primeiro programa foi lançado, os funcionários do Google não tinham ideia de quantas vulnerabilidades válidas – se houvesse – seriam enviadas no primeiro dia. Todos da equipe fizeram uma estimativa, com previsões que variavam de zero a 20. No final, foram recebidas mais de 25 alertas, pegando a todos de surpresa. “Desde o seu início, o programa não só cresceu significativamente em termos de volume de relatórios, mas a equipe de engenheiros de segurança por trás dele também se expandiu – incluindo quase 20 caçadores de bug que relataram vulnerabilidades para nós e acabaram se juntando à equipe do Google”.
Com informações da assessoria de imprensa
