Google и Android вече ще оценяват докладите за разкриване на уязвимости в устройствата въз основа на нивото на информация, която ловците на грешки предоставят, за да насърчат подаването на по-изчерпателни доклади.

Според Google Security докладите за уязвимости, подадени в програмата за възнаграждение за уязвимости (VRP) на Android и Google, ще бъдат оценявани като „високо“, „средно“ или „ниско“ качество въз основа на тези елементи:

• Точността и подробността на описанието на уязвимостта
• Анализ на първопричината
• Доказателство за концепцията
• Възпроизводимост
• Доказателство за достижимост
• Google и Android също така увеличиха най-високата награда за възнаграждение за грешки на 15 000 долара.

„Освен това от 15 март 2023 г. Android вече няма да присвоява Common Vulnerabilities and Exposures (CVE) на повечето проблеми със средна тежест“, се казва в публикацията в блога на Google Security, в която се обявяват промените във VRP. „CVEs ще продължат да се присвояват на критични и високосериозни уязвимости.“

Основателят на Bugcrowd и главен технологичен директор (CTO) Кейси Елис приветства усилията на Google да определи елементите на висококачествено разкриване на уязвимост.

„Нищо не се случва без ефективна комуникация. … Силата на краудсорсинга води със себе си променливост в начина на комуникация на подателите на уязвимости и ефективността на доклада надолу по веригата при съобщаването на риска на тези, които трябва да го отстранят“, казва Елис в отговор на новите правила за VRP. „Това, че Google се ангажира да подпомогне обучението на хакерската общност за „нещата, които правят комуникацията по-ефективна“, е огромна победа както за пространството, така и за самата общност.“

Само през 2022 г. VRP на Google са изплатили рекордните 12 милиона долара под формата на възнаграждения за открити  грешки.