谷歌将Chrome操作系统纳入bug赏金计划

谷歌表示，其bug赏金计划非常成功，即对发现Chrome浏览器和在线服务安全漏洞者颁发巨额现金奖励，该公司决定扩大该计划，将Chrome操作系统纳入其中。

　　谷歌表示，将那些“严重程度较高的Chromium操作系统安全bug”纳入该计划，这些bug在系统开发模式关闭的时候会出现。使用内核漏洞使渲染器沙箱脱离、内存损坏或Pepper 插件内部的交叉起源问题，以及违反已验证的引导路径等问题，都将具备进入该计划的资格。

　　该计划于2010年初启动，这一针对Chrome browser 的bug赏金计划是软件开发商第一次表示愿意为漏洞报告支付现金奖励。(Mozilla和DNS软件开发商Daniel J. Bernstein均早于谷歌。)6月，Facebook启动其奖励计划。到目前为止，微软、苹果、和甲骨文已不再支付奖金，尽管他们从很多全球最优秀的安全研究人员那里获得了大量的、免费的帮助。

　　迄今为止，谷歌为该计划共支付了729,000美元，该计划包括两年前启动的Chrome浏览器计划和15个月前启动的YouTube， Blogger，以及网络服务计划。Adam Mein，谷歌安全团队技术项目经理在博客中透露，谷歌收到了来自200多个用户发来的1,100多份合法报告。在730个应颁发奖金的bug中，一半来自谷歌收购的50多家公司中的一家所开发的软件。总计，谷歌为这一计划共支付了429,000美元。

　　另据谷歌浏览器博客上的一份独立贴，其余的300,000美元用于较早启动的Chrome浏览器奖励计划。据报道，漏洞覆盖了浏览器的全部组件，包括Windows内核和Mac OS X的图形库，Chromium和WebKit浏览器库的基础代码，以及诸如libxml和FFmpeg的开源库。该贴称，“数十个研究员”提交了报告。