2月7日，谷歌官方公開了2017年漏洞獎勵計劃總結報告，全年共為提交漏洞的安全研究員發放了高達290萬美元的獎勵金。以下為報告詳細內容：

　　在新一年開始之際，我們來花點時間回顧一下2017年的漏洞獎勵計劃。當然其中也加入了2014年、2015年和2016年的回顧，展示我們漏洞獎勵計劃的進程。

　　這篇博文的核心是向安全研究團隊表示由衷的感謝。在各位的持續幫助下，谷歌的用戶和我們的產品變得愈發安全。我們期待著在2018年及今后繼續與各個團隊保持合作!

　　用數據說話：2017年

　　以下是2017年，我們如何對研究人員提供的報告進行獎勵的:

　　為獎勵研究人員在谷歌產品內發現漏洞并報告給我們，我們授予過研究人員超過100萬美元獎金。安卓也有相近的獎金數額。再加上我們的Chrome獎勵，去年一年，我們向研究人員提供的報告累計獎勵了近300萬美元。

　　再深入一點，我們通過漏洞研究資助計劃(Vulnerability Research Grants Program)向來自世界各地的50多名安全研究人員頒發了12.5萬美元的獎金，并將5萬美元獎勵給那些努力工作的人，他們提高了開源軟件的安全性，這也是我們的補丁獎勵計劃( Patch Rewards Program)的一部分。

　　幾個亮點漏洞

　　每年都有一些漏洞報告脫穎而出，有的研究也許特別巧妙，有些漏洞可能特別嚴重，或者有些報告特別有趣或者時效性很強。

　　這里是2017年最讓我們喜歡的一部分：

　　1.  8月，360 Alpha 團隊安全研究員龔廣提出一個Pixel手機的漏洞鏈，這是一個Chrome沙箱渲染進程的遠程執行漏洞與Android的libgralloc模塊中漏洞的組合，其中Android漏洞可用于從Chrome的沙箱中逃逸。作為Android安全獎勵計劃的一部分，他獲得了今年最大的獎勵:112,500美元。在去年的移動pwn2own比賽中，Pixel是唯一沒有被攻破的設備，而龔廣的報告也進一步加強了Pixel的安全性。

　　2. 研究人員“gzobqq”獲得了Pwnium的10萬美元獎金，他發現了一個五個組件的漏洞鏈，可在Chrome OS訪客模式下實現遠程代碼執行，。

　　3. Alex Birsan發現，任何人都可以訪問Google內部的問題跟蹤器數據。他詳細介紹了他的研究成果，我們為他的努力獎勵了15,600美元。

　　讓Android和Play更安全

　　在過去的一年中，我們繼續開展Android和Play安全獎勵計劃。

　　在過去兩年多時間里，沒有人獲得Android利用鏈的最高獎勵，因此，我們宣布對遠程漏洞鏈的最大獎勵——也就是對能遠程攻破TrustZone 或者Verified Boot的漏洞——將從5萬美元增加到20萬美元。我們還將遠程內核漏洞的最高獎勵從3萬美元增加到15萬美元。

　　在十月份，我們推出了僅限受邀的Google Play安全獎勵計劃，以鼓勵對Google Play上的熱門Android應用進行安全性研究。

　　今天，我們將遠程代碼執行的獎勵范圍從1,000美元擴展到5,000美元。我們還引入了一個新的類別，其中包括可能導致用戶隱私數據被盜的漏洞，未加密的信息，或導致訪問受保護的應用程序組件的漏洞。我們將為這些漏洞獎勵1000美元。有關詳情，請訪問Google Play安全獎勵計劃網站。

　　最后，我們希望告訴那些向Chrome Fuzzer Program提交Fuzzer的研究人員：他們的Fuzzer發現的每一個合格的漏洞都將獲得獎勵，無需再做額外的工作，甚至不需要再提交漏洞。

　　鑒于過去幾年良好的發展情況，我們期待漏洞獎勵計劃在安全研究界的共同努力下，能夠在2018年保護更多用戶。

　　原文鏈接：

　　Google Online Security Blog: Vulnerability Reward Program: 2017 Year in Review  https://security.googleblog.com/2018/02/vulnerability-reward-program-2017-year.html