谷歌表示,其bug赏金计划非常成功,即对发现Chrome浏览器和在线服务安全漏洞者颁发巨额现金奖励,该公司决定扩大该计划,将Chrome操作系统纳入其中。
谷歌表示,将那些“严重程度较高的Chromium操作系统安全bug”纳入该计划,这些bug在系统开发模式关闭的时候会出现。使用Linux内核漏洞使渲染器沙箱脱离、内存损坏或Pepper Flash插件内部的交叉起源问题,以及违反已验证的引导路径等问题,都将具备进入该计划的资格。
该计划于2010年初启动,这一针对Chrome browser 的bug赏金计划是软件开发商第一次表示愿意为漏洞报告支付现金奖励。(Mozilla和DNS软件开发商Daniel J. Bernstein均早于谷歌。)6月,Facebook启动其奖励计划。到目前为止,微软、苹果、和甲骨文已不再支付奖金,尽管他们从很多全球最优秀的安全研究人员那里获得了大量的、免费的帮助。
迄今为止,谷歌为该计划共支付了729,000美元,该计划包括两年前启动的Chrome浏览器计划和15个月前启动的YouTube, Blogger,以及其他网络服务计划。Adam Mein,谷歌安全团队技术项目经理在博客中透露,谷歌收到了来自200多个用户发来的1,100多份合法报告。在730个应颁发奖金的bug中,一半来自谷歌收购的50多家公司中的一家所开发的软件。总计,谷歌为这一计划共支付了429,000美元。
另据谷歌浏览器博客上的一份独立贴,其余的300,000美元用于较早启动的Chrome浏览器奖励计划。据报道,漏洞覆盖了浏览器的全部组件,包括Windows内核和Mac OS X的图形库,Chromium和WebKit浏览器库的基础代码,以及诸如libxml和FFmpeg的开源库。该贴称,“数十个研究员”提交了报告。
