Google: Bug-Bounty-Programm meldete über 2.900 Lücken im Jahr 2022, Prämien von 12 Mio. US-Dollar
In jedem Jahr fasst man bei Google zusammen, wie viele Sicherheitslücken das sogenannte Vulnerability Reward Program VRP über das Jahr verteilt melden und schließen konnte und wie viel Belohnungsgelder dadurch an teilnehmende Forscher ausgeschüttet werden konnten. Insgesamt seien so im vergangenen Jahr 2022 über 2.900 Sicherheitsprobleme gemeldet und behoben worden. An Prämien konnten dadurch im letzten Jahr mehr als 12 Mio. US-Dollar vergeben werden, 230.000 US-Dollar davon sind von den Prämierten an Wohltätigkeitsorganisationen gespendet worden.
Das Vulnerability Reward Program (VRP) von Google ist ein Programm, das darauf abzielt, Sicherheitslücken in den Produkten und Diensten von Google zu finden und zu beheben. Google belohnt dabei Personen, die Schwachstellen melden und dabei helfen, die Sicherheit der Produkte zu verbessern. Das Programm ist offen für jeden, der eine Sicherheitslücke in einem Google-Produkt oder -Dienst entdeckt und diese meldet. Google bietet für erfolgreiche Meldungen von Sicherheitslücken finanzielle Belohnungen an, je nach Schweregrad und Relevanz der gemeldeten Schwachstelle. Das VRP soll dazu beitragen, die Sicherheit der Nutzer von Google-Produkten zu erhöhen und das Vertrauen in die Marke zu stärken.
Dabei teilten sich die Prämien unter anderem folgendermaßen auf:
- Android-VRP: 4,8 Mio. US-Dollar, höchstbezahlter Bericht: 605.000 US-Dollar
- Android Chipset Security Reward Program: 486.000 US-Dollar
- Chrome VRP: 4 Mio. US-Dollar
- Open Source VRP: 110.000 US-Dollar
- und weitere
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Oder anders ausgedrückt:
Ist billiger als Qualitätssicherung und externe Pentester.
Das sind unabhängige externe Pentester, die vom VRP leben. Das hat Vor- und Nachteile für beide Seiten. Allein die Ausschreibung eines Preises ist schon eine Form der Qualitätssicherung.
Du wirst bei einer Qualitässicherung NIEMALS 100% alle Lücken, Fehler etc finden.
Denk mal darüber nach.
Das mit den 100% stimmt zwar, aber es ist schon ein Unterschied zwischen „NIEMALS“ und 2900 Lücken (die alleine im letzten Jahr gefunden wurden).
Es ist halt eine Kostenfrage. Die weltbesten Programmierer (zu denen zähle ich die Google Entwickler jetzt mal) hätten diese Lücken sicherlich auch gefunden.
Aber vermutlich hätten Sie nicht alle 2900 Lücken gefunden (Betriebsblindheit) und für die anderen Lücken wäre das Gehalt vermutlich mehr gewesen, als die Preise des VRP.
Dennoch finde ich die reine Zahl (2900) schon extrem hoch. Eigentlich sollte es trotz VRP schon eine interne Qualitätssicherung im Bereich Security geben, bevor ein Programm live geht. Das liegt ja auch im Interesse Googles nicht offen wie ein Scheunentor zu sein.
Da fragt man sich ja, sofern es eine solche Abteilung gibt und die Ihren Job gut machen, wie viele Lücken VORHER im Code waren….
Bug Bounty ist ein Teil der Qualitätssicherung, das findet zusätzlich statt.