本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯系出處。

漏洞賞金計劃（VRP）是現在很多科技公司查找自家漏洞的主要方法之一。

就像谷歌的漏洞獎勵計劃自2010年底啟動以來，在兩千多名bug hunters的參與下，修復了1萬余加的漏洞。

而這些bug hunters們也累計獲得了近3000萬美金的獎勵。

現在，谷歌為了慶祝推出漏洞獎勵計劃的周年紀念日、推進與更多bug hunters的合作，推出了他們的新平臺：Google Bug Hunters。

這個站點將谷歌所有的VRP計劃(包括Google、Android、Abuse、Chrome和Play等產品或服務)進行統一管理，提供一個單一入口讓大家更方便地提交bug。

新平臺激勵更多人找bug

工程師們花了大約兩年的時間才搭建好這個平臺，而一個bug hunter只花了幾個小時就率先發現了這個平臺的私有API接口。

尷尬的同時，谷歌也表示很欣慰。

Bug hunter們提交的每一份報告，將由總部位于瑞士和美國的谷歌安全工程師們進行親自審核。

值得一提的是，這個審核小組里的部分成員就是通過向谷歌提交漏洞后被批準加入的。

為了激勵更多人參與這個計劃，網站還推出了排行榜來促進良性競爭。

可以按國家或時間查看獲得獎勵最多的hunters。

建這個排行榜的另一個目的，是網站知道很多人都靠VRP的成就來找工作，所以他們希望這個排行榜也能成為bug hunters們的一個“背書”。

除此之外，不管你是“找茬”的新手還是老手，網站還推出了Bug Hunter大學，幫助你提升找bug的能力。

它會給你介紹一些常見的bug“藏身之處”，你就可以從那些地方開始搜索目標。

為了節省雙方的時間，它也告訴你哪些常見bug其實是無效的，不用提交。因為據統計提交上來的報告里有90%都沒有實際意義。

另外還會教你如何清晰地寫一份呈現完整場景的復現報告，這樣也能方便審查人員對你發現的bug進行分類和評級。

最后，為了讓大家更方便快捷地提交報告，網站還簡化了演示流程。

介紹完了這個新平臺，下面應該就是大家最關心的問題：具體規則如何？哪方面的bug可以提？一個bug能獎勵多少錢？

下面就來簡單介紹一下谷歌這個漏洞賞金計劃的規則吧。

谷歌的VRP規則

官網上的規則可不少，且劃分的很詳細。我們就以Chrome為例：

首先是漏洞查找范圍：

Canary版Chrome由于谷歌本身就會頻繁回歸測試，所以盡量多找Stable、Beta、Dev版上的bug；

谷歌提供或使用的第三方組件 （如PDFium、adobeflash、Linux內核）上也可以。

然后是查找bug和漏洞報告相關的一些注意事項：

（1）找到了bug就在自己的機子上測試，不要去別人那里搞破壞；

（2）除非是為了修bug不得以的情況下，不可將發現的bug提前公開，不然沒賞金（一般情況 下，bug再被標記為”已修復”后的14星期后才公開）

(3) 所有報告現在都必須通過該平臺按照統一的規則進行提交，不用額外加密；

且報告的質量非常重要，不然可能被判定無效，必須測試用例最小化、證明風險很大、分 析可能的原因、提供建議修補方法等。

（4）如果有多份相同的漏洞報告出現，由他們的跟蹤器跟蹤到的最早的提交為準；

（6）與谷歌相關業務有關的人員可能沒有賞金資格；

最后就是大家最關心的賞金額度了：

總的來說，額度從500美元到15萬美元不等，特殊情況會特殊分析。

一共10種類型的漏洞獎勵，每一種漏洞按等級又有三檔額度。

獎金最高的是“沙箱逃逸”(SandboxEscaper)、內存損壞。

ps.有太多網友覺得獎勵越來越低了，所以導致不少人直接將漏洞出售給第三方。

當然，世界是如此參差，還有人對賞金完全不感興趣。

所以官方表示，如果12個月仍未被認領的賞金將捐給慈善機構。

網站地址：
https://bughunters.google.com/