Google では、Android、Play、Chrome などのサービス向けに脆弱性リワード プログラム (VRP) を運用し、システムの安全性を向上させます。2021年、同社は研究者の報酬を200万ドルから870万ドルに増やしました。
最大の支払いは、Androidの安全上の欠陥を暴露するための$157,000でした。ハイテク大手は、Androidバージョンの欠陥を開示する専門家に300万ドル近くのバグバウンティを支払いましたが、PixelのTitan-Mセーフティチップセットの問題に対する150万ドルのインセンティブはまだ収集されていません。
2021年には、bughunters.google.com に新しいバグハンターポータルのデビューも明らかにし、同社のすべてのVRP、すなわちグーグル、アンドロイド、虐待、クロム、Google Playと一緒にバグ報告をスピードアップします。さらに、調査官が能力を磨くのを助けるために特別に設計されたデータを提供します。
Chrome VRPは再び最前線にあり、3,288,000ドル、そのうち3.1ドルがブラウザの問題に向かい、250,500ドルがChrome OSに割り当てられました。Chrome OSの最高賞金は$45,000で、115人の専門家が全体で賞を受賞しました。
Androidはバグバウンティで2,935,244ドルで2位となり、前年の174万ドルから増加しました。記録上最大のAndroid VRP賞によると、「Androidで発見されたエクスプロイトチェーンは$157,000の賞金を受け取りました。
同社は、特定の他の主要なAndroidチップセットのメーカーと提携して運営しているAndroidチップセットセキュリティリワードプログラム(ACSRP)に代わって、さらに220の正当で特徴的な安全警告のために296,000ドルが付与されました。
さらに、60人以上の安全専門家がGoogle Playの脆弱性に対するバグ報酬の支払いで55万ドルを受け取りました。
同社は、Google Kubernetes Engine(GKE)の重要なアクセス可能な要件の安全上の弱点に取り組む透明なKubernetesベースのキャプチャ・ザ・フラッグ・プログラム(kCTF)にVRPに代わって175,685ドルを授与しました。
逆に、GoogleのProject Zeroスタッフからの新鮮な情報は、2019年から2021年にかけて、同社のProject Zeroチームの障害調査官が、さまざまなサプライヤーからシステムの376のプライバシーの欠陥を発見し、開示したことを明らかにしました。
同社の調査によると、351件の欠陥が実際に取り上げられており、残りはサプライヤーが対処しない問題として特定されています。2019年から2021年にかけて、Project Zeroチームは96の問題を発見し、マイクロソフトのサービス、iOSに関する85件のバグ、Google製品に影響を与える60件のバグに関するすべての欠陥の26%を占めました。これらのプロバイダの中で、Googleは公然と調査された欠陥に最も反応が良かった。ハイテク大手は通常、バグを修正するのに44日かかり、アップルは69日、マイクロソフトは83日です。