بسیاری از شرکتها از جمله گوگل برای یافتن ایرادهای موجود در محصولات نرمافزاریشان، به اهدای پاداش به یابندگان باگ روی میآورند.
گوگل طی بیانیهای در بلاگ خود اعلام کرد سال گذشته به آن دسته از کارشناسان امنیتی که توانستند حفرههایی در سد دفاعی گوگل پیدا کنند، در مجموع مبلغ ۶/۵ میلیون دلار پاداش اهدا کرده که تقریبا دو برابر مبلغ ۳/۴ میلیون دلاری سال ۲۰۱۸ است. بدین ترتیب کل پاداش اهدایی گوگل در برنامههای اهدای پاداش برای کشف آسیبپذیری (VRP)از زمان راهاندازی آن در سال ۲۰۱۰ به ۲۱ میلیون دلار رسید. گوگل در این باره در بلاگ خود چنین نوشت:
ما در سال گذشته ۶/۵ میلیون دلار به یابندگان باگ در محصولاتمان پرداخت کردیم و با این کار رکورد مبلغ پرداختی در یک سال را تا حدود دو برابر ارتقا دادیم. همچنین کارشناسان ما رقم بیسابقهی ۵۰۰ هزار دلار را به مؤسسههای خیریه کمک کردند. این مبلغ پنج برابر رقمی است که تا پیش از این در یک بازهی یک ساله به مؤسسات خیریه کمک شده بود.
از مجموع ۶/۵ میلیون دلار پاداش پرداختی به یابندگان باگ، ۲/۱ میلیون دلار به باگهای کشفشده در محصولات گوگل تعلق دارد. سیستمعامل اندروید و مرورگر کروم به ترتیب با ۱/۹ میلیون دلار و یک میلیون دلار در رتبههای بعدی جای دارند. غول فناوری همچنین مبلغ ۸۰۰ هزار دلار به افرادی که موفق به کشف باگ در فروشگاه گوگل پلی شدهاند، پاداش پرداخت کرد. تا پیش از این برنامهی امنیتی گوگل برای فروشگاه گوگل پلی تنها هشت اپلیکیشن برتر فروشگاه را پوشش میداد؛ اما گوگل در سال گذشته این طرح را گسترش داد تا تمامی اپلیکیشنهایی که بیش از صد میلیون نصب فعال دارند در محدودهی آن جای گیرند. این کار به ۶۵۰ هزار دلار پاداش بیشتر در نیمهی دوم سال ۲۰۱۹ منجر شد.
بزرگترین پاداش به گوانگ ژونگ (Guang Gong)، کارشناس امنیتی شرکت آلفا لبز (Alpha Labs)، برای کشف یک حفرهی امنیتی بزرگ در گوشی پیکسل ۳ تعلق گرفت.
البته جهش در میزان پاداش برای باگهای شکار شده اتفاقی نیست. گوگل در سال گذشته دست به اعمال تغییراتی در برنامههای خود زد و حداقل جایزهی کشف باگ در محصولاتش را از ۵ هزار دلار به ۱۵ هزار دلار افزایش داد. همچنین با دو برابر کردن حداکثر جایزه برای «گزارشهای با کیفیت» آن را به رقم ۳۰ هزار دلار رساند.
همچنین پاداشی یک میلیون دلاری برای کارشناسانی که بتوانند با استفاده از یک حفرهی امنیتی، زنجیرهی کاملی از کدها را از راه دور روی اندروید اجرا کنند در نظر گرفته شده است. اگر چنین حفرهای در برخی نسخههای پیشنمایش اندروید کشف شود، احتمال تعلق گرفتن یک جایزهی اضافی به مبلغ ۵۰۰ هزار دلار نیز وجود دارد.
باتوجه به موفق بودن گوگل در برنامههای خود برای شناسایی باگهای امنیتی، دنبالهروی سایر شرکتها از آن جای تعجب ندارد. ماه گذشته اپل برنامهی شکار باگ خود را بهطور عمومی و برای تمام کارشناسان امنیتی آزاد کرد. پیشتر شرکت در این برنامه نیازمند داشتن دعوتنامه بود و تنها به آسیبپذیریهای iOSمحدود میشد. همچنین اپل حداکثر مبلغ جایزه را از ۲۰۰ هزار دلار به یک میلیون دلار افزایش داد. این پاداش برای کشف حفرهای که اجازهی اجرای مکرر و بدون کلیک یک کد در کرنل این سیستمعامل را بدهد در نظر گرفته شده است.
با توسعهی فناوری و راه پیدا کردن آن به تمامی بخشهای زندگی ما، عجیب نیست که ارزش کشف باگهای نرمافزاری نزد شرکتها به سرعت اوج بگیرد و روزبهروز تعداد بیشتری از شرکتها به برنامههایی برای شناسایی این حفرههای امنیتی از سوی کاربران روی بیاورند.
پاسخ ها