Google и Android вече ще оценяват докладите за разкриване на уязвимости в устройствата въз основа на нивото на информация, която ловците на грешки предоставят, за да насърчат подаването на по-изчерпателни доклади.

Според Google Security докладите за уязвимости, подадени в програмата за възнаграждение за уязвимости (VRP) на Android и Google, ще бъдат оценявани като „високо“, „средно“ или „ниско“ качество въз основа на тези елементи:

  • Точността и подробността на описанието на уязвимостта
  • Анализ на първопричината
  • Доказателство за концепцията
  • Възпроизводимост
  • Доказателство за достижимост
  • Google и Android също така увеличиха най-високата награда за възнаграждение за грешки на 15 000 долара.

 

„Освен това от 15 март 2023 г. Android вече няма да присвоява Common Vulnerabilities and Exposures (CVE) на повечето проблеми със средна тежест“, се казва в публикацията в блога на Google Security, в която се обявяват промените във VRP. „CVEs ще продължат да се присвояват на критични и високосериозни уязвимости.“

Основателят на Bugcrowd и главен технологичен директор (CTO) Кейси Елис приветства усилията на Google да определи елементите на висококачествено разкриване на уязвимост.

„Нищо не се случва без ефективна комуникация. … Силата на краудсорсинга води със себе си променливост в начина на комуникация на подателите на уязвимости и ефективността на доклада надолу по веригата при съобщаването на риска на тези, които трябва да го отстранят“, казва Елис в отговор на новите правила за VRP. „Това, че Google се ангажира да подпомогне обучението на хакерската общност за „нещата, които правят комуникацията по-ефективна“, е огромна победа както за пространството, така и за самата общност.“

Само през 2022 г. VRP на Google са изплатили рекордните 12 милиона долара под формата на възнаграждения за открити  грешки.

Източник: DARKReading

Подобни публикации

22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
21 януари 2025

2025: Управление на повърхността на атаката

Бизнес трансформацията предефинира управлението на повърхността на ...
21 януари 2025

Нарушаване на сигурността на данните в PowerSchool

Базираният в Калифорния гигант в областта на образователните технол...
Бъдете социални
Още по темата
15/01/2025

Ivanti поправя критични уяз...

Във вторник Ivanti обяви пачове за...
15/01/2025

Adobe: Критични дефекти при...

Във вторник производителят на софтуер Adobe...
09/01/2025

Ivanti предупреждава за нов...

В сряда изпадналият в затруднение доставчик...
Последно добавени
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
22/01/2025

Хиперволуметричните DDoS ат...

Най-голямата до момента разпределена атака за...
22/01/2025

Тръмп уволнява Съвета за ки...

В писмо, изпратено днес, изпълняващият длъжността...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!