Google ve Android artık cihaz güvenlik açığı açıklama raporlarını, daha kapsamlı gönderimleri teşvik etmek için hata avcılarının sağladığı bilgi düzeyine göre değerlendirecek.
Android ve Google Güvenlik Açığı Ödül Programına (VRP) gönderilen güvenlik açığı raporları, Google Security’ye göre şu unsurlara göre “Yüksek”, “Orta” veya “Düşük” kalite olarak derecelendirilecektir:
- Güvenlik açığı açıklamasının doğruluğu ve ayrıntısı
- Temel nedeninin analizi
- Kavramın ispatı
- Yeniden üretilebilirlik
- Ulaşılabilirlik kanıtı
Google ve Android ayrıca en büyük böcek ödülü ödülünü 15.000 ABD dolarına çıkardı.
“Ek olarak, 15 Mart 2023’ten itibaren Android artık Orta Düzeydeki sorunların çoğuna Ortak Güvenlik Açıkları ve Etkilenmeler (CVE’ler) atamayacak.” Google Güvenlik blog yayını VRP değişikliklerini duyuran söyledi. “CVE’ler kritik ve yüksek önem dereceli güvenlik açıklarına atanmaya devam edecek.”
Bugcrowd’un kurucusu ve baş teknoloji sorumlusu (CTO) Casey Ellis, Google’ın yüksek kaliteli bir güvenlik açığı ifşasının unsurlarını tanımlama çabasını takdir ediyor.
Ellis, “Etkili iletişim olmadan hiçbir şey olmaz. … Kitle kaynak kullanımının gücü, güvenlik açığını bildirenlerin iletişim kurma biçiminde değişkenliği ve riski düzeltmesi gerekenlere iletmede raporun aşağı yönlü etkinliğini beraberinde getiriyor” diyor. yeni VRP kuralları. “Google’ın hacker topluluğunu ‘iletişimi daha etkili kılan şeyler’ konusunda eğitmeye yardımcı olmak için adım atması, hem alan hem de topluluğun kendisi için muazzam bir kazanç.”
Yalnızca 2022’de, Google’ın VRP’leri rekor kıran 12 milyon dolarlık hata ödülleri ödedi.