O Google anunciou uma nova plataforma de recompensa de bug ao comemorar o aniversário de 10 anos de seu Programa de Recompensas de Vulnerabilidade (VRP). O programa resultou em um total de 11.055 bugs encontrados, 2.022 pesquisadores recompensados e quase US$ 30 milhões em recompensas pagas ao todo.
Jan Keller, gerente técnico do programa VRP do Google, disse que em homenagem ao programa, eles estão divulgando uma nova plataforma: bughunters.google.com.
“Este novo site traz todos os nossos VRPs (Google, Android, Abuse, Chrome e Play) mais próximos e fornece um único formulário de entrada que torna mais fácil para os caçadores de bugs enviarem problemas”, disse Keller.
Keller acrescentou que a plataforma terá recursos de gamificação e oferecerá mais chances de interação ou competição. Haverá tabelas de classificação por país e chances de adquirir prêmios ou emblemas para bugs específicos.
Google anuncia nova plataforma de recompensa de bug
A empresa também está criando uma “tabela de classificação esteticamente mais agradável” como uma forma de ajudar aqueles que usam suas realizações no VRP para encontrar empregos. Haverá ainda mais chances para os caçadores de insetos aprenderem por meio da nova Universidade Bug Hunter.
“Sabemos o valor que o compartilhamento de conhecimento traz para nossa comunidade. É por isso que queremos tornar mais fácil para você publicar seus relatórios de bug. Swag agora terá suporte para ocasiões especiais (ouvimos você em voz alta e clara!)”, Escreveu Keller .
A postagem do blog observa que mais pessoas deveriam tirar proveito de outros recursos de VRP, como a capacidade de enviar patches para software de código-fonte aberto para recompensas e recompensas potenciais para trabalhos de pesquisa sobre a segurança do código-fonte aberto.
Alguns softwares de código aberto podem até ser elegíveis para subsídio, explicou Keller.
“Quando lançamos nosso primeiro VRP, não tínhamos ideia de quantas vulnerabilidades válidas – se alguma – seriam enviadas no primeiro dia. Todos na equipe colocaram suas estimativas, com previsões variando de zero a 20”, Keller disse.
No final, recebemos mais de 25 relatórios, pegando todos nós de surpresa. Desde seu início, o programa VRP não só cresceu significativamente em termos de volume de relatórios, mas a equipe de engenheiros de segurança por trás dele também se expandiu – incluindo quase 20 caçadores de bug que relataram vulnerabilidades para nós e acabaram se juntando à equipe VRP do Google.
Keller continuou a agradecer à comunidade de caçadores de bugs do Google por seu trabalho e os incentivou a dar feedback sobre a nova plataforma.
Compensa procurar bugs?
Hank Schless, gerente sênior da Lookout, disse que sua empresa relatou cerca de 600 aplicativos maliciosos encontrados na Play Store e elogiou o Google por “essencialmente terceirizar seus relatórios de bugs e vulnerabilidades”.
O Google sempre adotou uma abordagem mais aberta para seu software do que empresas comparáveis. O Android, por exemplo, é baseado em uma tecnologia de código aberto que permite mais personalização do sistema operacional, disse Schless.
Contar com outros para ajudar a relatar problemas é uma parte fundamental da criação de uma experiência segura do cliente que pode continuar a melhorar. Esse tipo de conhecimento baseado na comunidade serve apenas para tornar o mundo um lugar mais seguro.
