2020年送出670万美元的奖金 创下史上最高额

Chrome 漏洞奖励计划（VRP）自 2010 年启动以来，得到了很多安全研究人员的踊跃参与，通过报告存在于 Chrome 和 Chrome OS 中的漏洞来赚取赏金。而通过这个项目，谷歌也修复了大量漏洞，从而让软件变得更加安全。近日，世界IT巨头谷歌宣布，专门提供给发现举报谷歌旗下产品BUG举报奖金2020年度达670万美元，创下史上最高额。

2019 年的时候，谷歌就曾向安全研究人员支付了 650 万美元的资金。而今年与2019年相比，Bug赏金的总金额略有增加。该计划已经运行十年，迄今已累计产生约2800万美元的奖励。Google为多种产品提供了漏洞奖励计划（VRP），包括Chrome浏览器、Android操作系统和Google Play商店。其去年向全球 62 个地区的 662 名安全研究人员提供了超过 670 万美元的漏洞发现奖励金，最高奖励为132,500美元。

其中获得奖金比例最多的领域来自谷歌旗下的主打产品《Google Chrome》浏览器，2020年谷歌为热心粉丝发放了高达210万美元的奖金。第二大漏洞来源是谷歌旗下的 Android 移动操作系统平台（颁发漏洞发现奖金 174 万美元），Play 商店中热门 Android 引用的除虫奖励也有 27 万美元。

值得一提的是，谷歌还在 2020 年颁发了第一个针对 Android 11 移动操作系统的开发者预览奖励金，提交者通过去年 11 月的报告获得了 5 万美元的奖励金。显然，能够让谷歌在 Android 11 正式发布前修复这一漏洞，这笔高额奖金也是实至名归。

龚广（@oldfresher）和奇虎 360 阿尔法实验室的其他成员，也向 Android 开发团队提交了创纪录的八个漏洞利用（占历史总数的三成），最近一项提交是让人印象深刻的远程一键 root 漏洞利用。此外在 2019 年的时候，奇虎360 团队不仅通过 Android 漏洞拿到了 16 万 1337 美元的奖金，还通过 Chrome VRP 项目拿到了 4 万美元的奖金。

一位研究人员最近以两个新的漏洞利用工具获得40万美元的最高Android漏洞利用支出。谷歌推出了诸多试验性质的奖励计划，以指导安全研究人员能够瞄向其它感兴趣的领域，比如 Android Auto 车载信息娱乐平台、以及针对 Android 模糊代码和芯片组的相关安全研究。

在 Google VRP 漏洞奖励项目发起十周年之际，去年已有 180 多名安全研究人员获得了谷歌的资助。他们提交了 200 份针对谷歌产品和开源生态的漏洞报告，目前已有 100 个得到了确认。