Google ve Android artık cihaz güvenlik açığı açıklama raporlarını, daha kapsamlı gönderimleri teşvik etmek için hata avcılarının sağladığı bilgi düzeyine göre değerlendirecek.
Android ve Google Güvenlik Açığı Ödül Programına (VRP) gönderilen güvenlik açığı raporları, Google Security’ye göre şu unsurlara göre “Yüksek”, “Orta” veya “Düşük” kalite olarak derecelendirilecektir:
- Güvenlik açığı açıklamasının doğruluğu ve ayrıntısı
- Kök nedeninin analizi
- Kavramın ispatı
- Yeniden üretilebilirlik
- Ulaşılabilirlik kanıtı
Google ve Android ayrıca en büyük böcek ödülü ödülünü 15.000 ABD dolarına çıkardı.
“Ek olarak, 15 Mart 2023’ten itibaren, Android artık Ortak Güvenlik Açıklarını ve Teşhirleri (CVE’ler) orta düzeydeki sorunların çoğuna atamayacak.” ciddiyet güvenlik açıkları.”
Bugcrowd’un kurucusu ve baş teknoloji sorumlusu (CTO) Casey Ellis, Google’ın yüksek kaliteli bir güvenlik açığı ifşasının unsurlarını tanımlama çabasını takdir ediyor.
Ellis, Dark Reading’e cevaben Dark Reading’e “Etkili iletişim olmadan hiçbir şey olmaz. … Kitle kaynağın gücü, güvenlik açığı gönderenlerin iletişim kurma biçimindeki değişkenliği ve riski düzeltmesi gerekenlere iletmede raporun aşağı akış etkililiğini beraberinde getiriyor” dedi. yeni VRP kuralları. “Google’ın bilgisayar korsanı topluluğunu ‘iletişimi daha etkili kılan şeyler’ konusunda eğitmeye yardımcı olmak için adım atması, hem alan hem de topluluğun kendisi için muazzam bir kazanç.”
Yalnızca 2022’de, Google’ın VRP’leri rekor kıran 12 milyon dolarlık hata ödülleri ödedi.