Google пуска оценки за качеството на разкритите грешки в сигурността

Google и Android вече ще оценяват докладите за разкриване на уязвимости в устройствата въз основа на нивото на информация, която ловците на грешки предоставят, за да насърчат подаването на по-изчерпателни доклади.

Според Google Security докладите за уязвимости, подадени в програмата за възнаграждение за уязвимости (VRP) на Android и Google, ще бъдат оценявани като „високо“, „средно“ или „ниско“ качество въз основа на тези елементи:

  • Точността и подробността на описанието на уязвимостта
  • Анализ на първопричината
  • Доказателство за концепцията
  • Възпроизводимост
  • Доказателство за достижимост
  • Google и Android също така увеличиха най-високата награда за възнаграждение за грешки на 15 000 долара.

 

„Освен това от 15 март 2023 г. Android вече няма да присвоява Common Vulnerabilities and Exposures (CVE) на повечето проблеми със средна тежест“, се казва в публикацията в блога на Google Security, в която се обявяват промените във VRP. „CVEs ще продължат да се присвояват на критични и високосериозни уязвимости.“

Основателят на Bugcrowd и главен технологичен директор (CTO) Кейси Елис приветства усилията на Google да определи елементите на висококачествено разкриване на уязвимост.

„Нищо не се случва без ефективна комуникация. … Силата на краудсорсинга води със себе си променливост в начина на комуникация на подателите на уязвимости и ефективността на доклада надолу по веригата при съобщаването на риска на тези, които трябва да го отстранят“, казва Елис в отговор на новите правила за VRP. „Това, че Google се ангажира да подпомогне обучението на хакерската общност за „нещата, които правят комуникацията по-ефективна“, е огромна победа както за пространството, така и за самата общност.“

Само през 2022 г. VRP на Google са изплатили рекордните 12 милиона долара под формата на възнаграждения за открити  грешки.

Източник: DARKReading

Подобни публикации

1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
26/05/2023

Грешка в OAuth засяга стоти...

Уязвимост в киберсигурността, открита при прилагането...
23/05/2023

Google ще изтрива неактивни...

Google твърди, че промяната в политиката...
Последно добавени
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!