Google 近日宣稱，從 2010 年推出 Bug 賞金計劃以來，它已發放了逾 600 萬美元獎金。僅在去年一年中，300 多名安全研究員總共發現了 750 多個漏洞，Google 給他們發送了逾 200 萬美元獎金。

Bug 賞金計劃是對 Google 現有內部安全計劃的有益補充。它可以激勵個人和駭客群體發現 Google 服務中的漏洞，並以恰當的方式揭露這些漏洞，而不是利用這些漏洞搞破壞或銷售給第三方牟利。

自從推出以來，Google 的 Bug 賞金計劃一直在穩步發展。該公司每年發現的漏洞越來越多，發放的獎金也越來越多。Google 的安全團隊在不斷地拓展該計劃的獎勵範圍，納入了越來越多的產品，並提供了更多的獎勵。

在 2015 年 1 月，Google 的 Bug 賞金計劃納入了 Android 和 iOS 行動 App，並開始提供安全資助（即在安全研究員提交漏洞前就向其支付一筆費用）。例如，在得到 Google 的資助後，安全研究員 Kamil Histamullin 發現了 YouTube 創作者工作室（Creator Studio）有個安全漏洞，任何人均可以利用這個漏洞刪除 YouTube 網站上的任何影片，他們只需要修改其網址上的一個參數即可。這個漏洞後來被消除了，Kamil Histamullin 也因此獲得了 5000 美元的獎金，這筆獎金還不包括他最開始獲得的研究資助。

然後在 2015 年 6 月，Google 開始將 Android 裝置納入其 Bug 賞金計劃。到去年底，Google 已向發現 Android 裝置漏洞的研究人員支付 20 萬美元獎金，其中包括該公司的最大一筆獎金：3.75 萬美元。

Google 還分享了 2015 年發生的兩則有趣的故事。

– 在 2015 年，研究成果最豐碩的安全研究員 Tomasz Bojarski 發現了 Google 服務中的 70 個漏洞。他甚至發現 Google 讓安全研究員們提交安全漏洞的網路表格中也存在安全漏洞。

– 安全研究員 Sanmay Ved 發現 Google 域名 Google.com 尚未註冊，於是花費 12 美元成功買下了這個域名。Google 原計劃給他獎勵 6006.13 美元（這個數字看起來與 Google 的拼寫很像），但當該公司發現 Ved 準備將這筆獎金捐給慈善機構時，它將獎勵金額提高了一倍。

Facebook、Google 和微軟均高調推出了 Bug 賞金計劃。一些較小的公司也開始推出這樣的計劃。其實，在安全問題方面，最好的做法是：我們能即時發現和解決安全漏洞，而不是等到這些漏洞變成大問題後再行解決。給安全研究人員發放的獎勵金額，相對於安全災難發生後的補救成本來說，簡直微不足道。

資料來源：騰訊科技