谷歌將Chrome操作系統(tǒng)納入bug賞金計(jì)劃

谷歌表示，其bug賞金計(jì)劃非常成功，即對(duì)發(fā)現(xiàn)Chrome瀏覽器和在線服務(wù)安全漏洞者頒發(fā)巨額現(xiàn)金獎(jiǎng)勵(lì)，該公司決定擴(kuò)大該計(jì)劃，將Chrome操作系統(tǒng)納入其中。

　　谷歌表示，將那些“嚴(yán)重程度較高的Chromium操作系統(tǒng)安全bug”納入該計(jì)劃，這些bug在系統(tǒng)開(kāi)發(fā)模式關(guān)閉的時(shí)候會(huì)出現(xiàn)。使用內(nèi)核漏洞使渲染器沙箱脫離、內(nèi)存損壞或Pepper 插件內(nèi)部的交叉起源問(wèn)題，以及違反已驗(yàn)證的引導(dǎo)路徑等問(wèn)題，都將具備進(jìn)入該計(jì)劃的資格。

　　該計(jì)劃于2010年初啟動(dòng)，這一針對(duì)Chrome browser 的bug賞金計(jì)劃是軟件開(kāi)發(fā)商第一次表示愿意為漏洞報(bào)告支付現(xiàn)金獎(jiǎng)勵(lì)。(Mozilla和DNS軟件開(kāi)發(fā)商Daniel J. Bernstein均早于谷歌。)6月，F(xiàn)acebook啟動(dòng)其獎(jiǎng)勵(lì)計(jì)劃。到目前為止，微軟、蘋(píng)果、和甲骨文已不再支付獎(jiǎng)金，盡管他們從很多全球最優(yōu)秀的安全研究人員那里獲得了大量的、免費(fèi)的幫助。

　　迄今為止，谷歌為該計(jì)劃共支付了729,000美元，該計(jì)劃包括兩年前啟動(dòng)的Chrome瀏覽器計(jì)劃和15個(gè)月前啟動(dòng)的YouTube， Blogger，以及網(wǎng)絡(luò)服務(wù)計(jì)劃。Adam Mein，谷歌安全團(tuán)隊(duì)技術(shù)項(xiàng)目經(jīng)理在博客中透露，谷歌收到了來(lái)自200多個(gè)用戶發(fā)來(lái)的1,100多份合法報(bào)告。在730個(gè)應(yīng)頒發(fā)獎(jiǎng)金的bug中，一半來(lái)自谷歌收購(gòu)的50多家公司中的一家所開(kāi)發(fā)的軟件?？傆?jì)，谷歌為這一計(jì)劃共支付了429,000美元。

　　另?yè)?jù)谷歌瀏覽器博客上的一份獨(dú)立貼，其余的300,000美元用于較早啟動(dòng)的Chrome瀏覽器獎(jiǎng)勵(lì)計(jì)劃。據(jù)報(bào)道，漏洞覆蓋了瀏覽器的全部組件，包括Windows內(nèi)核和Mac OS X的圖形庫(kù)，Chromium和WebKit瀏覽器庫(kù)的基礎(chǔ)代碼，以及諸如libxml和FFmpeg的開(kāi)源庫(kù)。該貼稱(chēng)，“數(shù)十個(gè)研究員”提交了報(bào)告。