Bleeping Computer 網(wǎng)站披露，2022 年，谷歌通過漏洞獎勵計劃支付了有史以來最高的漏洞獎金，為安全研究人員報告的 2900 多個漏洞，支付超 1200 萬美元。

2022年，谷歌漏洞獎勵總額躍升至1200萬美元 （來源：谷歌）

安卓漏洞賞金計劃

近期，谷歌發(fā)布了漏洞獎勵計劃（VRPs）的統(tǒng)計數(shù)據(jù)，詳細(xì)概述了安全研究人員如何發(fā)現(xiàn)公司產(chǎn)品中安全漏洞以及獲得的漏洞賞金數(shù)額。

資料顯示，最大單筆報酬發(fā)給了 gzobqq ，其在提交的報告中詳細(xì)說明了安卓系統(tǒng)中五個漏洞（CVE-2022-20427, CVE-2022-20428, CVE-2022-20454, CVE-2022-20460）的利用鏈，一共獲得了 60.5 萬美元的獎勵。

值得一提的是，2021年，gzobqq 發(fā)現(xiàn)并報告了安卓系統(tǒng)中的另一個關(guān)鍵漏洞鏈，獲得了 15.7 萬美元的獎勵，該金額是當(dāng)時安卓系統(tǒng) VRP 歷史上最高的漏洞賞金。通常情況下，通過谷歌 VRP 提交安卓漏洞的賞金最高為 1 萬美元，但對于漏洞鏈，提供者最高可獲得的賞金高達(dá) 100 萬美元。

2022 年，谷歌為數(shù)百個安卓漏洞支付了 480 萬美元的獎勵，報告大多數(shù)漏洞的頂級研究人員主要是以下幾位：

• Bugsmirror 的 Aman Pandey：超過 200 個漏洞
• OPPO 琥珀安全實驗室的 Zinuo Han：150 個漏洞
• Yu-Cheng Lin：近 100 個漏洞

2022 年，谷歌還通過其與安卓芯片組制造商合作提供的私人獎勵計劃 ACSRP，為 700 份漏洞安全報告提供了 48.6 萬美元的獎勵。

Chrome 和 OSS 的獎勵

2022 年，谷歌公司還為 Chrome 瀏覽器中的 363 個漏洞和 ChromeOS 中的 110 個安全漏洞支付了總計 400 萬美元的賞金。

除了向研究人員發(fā)放獎金外，谷歌還向 170 多名研究人員發(fā)放了超過 25 萬美元的贈款。這些資金用于關(guān)注谷歌產(chǎn)品和服務(wù)的個人研究員，即使他們沒有發(fā)現(xiàn)任何漏洞。

2022 年，谷歌為通過漏洞獎勵計劃提交的報告支付了 703 名研究人員的費用，并成為 NahamCon 和 BountyCon 安全相關(guān)會議的贊助商。