Sommario
Google ha raggiunto un traguardo significativo nel 2022 attraverso il suo Programma di Ricompense per Vulnerabilità (VRP), assegnando oltre 12 milioni di dollari a ricercatori di sicurezza che hanno scoperto e segnalato responsabilmente vulnerabilità nei suoi prodotti. Questo rappresenta un aumento rispetto ai 8,7 milioni di dollari assegnati nel 2021 e segna un record in termini di pagamenti e numero di vulnerabilità trovate e risolte.
I dettagli dei premi
Più di 2.900 ricercatori di sicurezza hanno segnalato vulnerabilità e soluzioni a Google nel 2022. Yuval Avrahami, analista di Palo Alto Networks Unit 42, ha ricevuto il premio più alto, pari a 133.337 dollari, per aver scoperto diverse vulnerabilità e percorsi di attacco in Google Kubernetes Engine (GKE) Autopilot. Queste scoperte hanno portato a diversi miglioramenti nella protezione di Autopilot. I secondi, terzi e quarti premi sono stati assegnati a Sivanesh Ashok e Sreeram KL, che hanno ricevuto rispettivamente 73.331 dollari e 31.337 dollari per le loro ricerche su Google Compute Engine e Google Cloud Workstations.
Confronto con altri programmi di ricompense
Per confronto, Microsoft ha pagato 13,7 milioni di dollari in premi per la scoperta di bug nel 2021, distribuiti tra 335 ricercatori, con un premio di 200.000 dollari come premio più alto per una vulnerabilità Hyper-V. Allo stesso modo, Google ha aumentato i suoi pagamenti per i programmi di vulnerabilità esistenti e ha aggiunto nuovi programmi, inclusi quelli che incoraggiano i ricercatori a segnalare vulnerabilità nei progetti open source.
L’importanza della sicurezza e della collaborazione della comunità
I programmi di ricompense per vulnerabilità come quelli di Google svolgono un ruolo cruciale nel rafforzare la sicurezza dei prodotti e servizi online. Attraverso questi programmi, le aziende possono sfruttare l’esperienza e le competenze della comunità globale di ricercatori di sicurezza per identificare e correggere vulnerabilità che altrimenti potrebbero rimanere non scoperte.
