谷歌将Bug报告奖励政策拓展至Chrome系统

　　【搜狐IT消息】北京时间2月10日消息，来自国外媒体的消息，谷歌日前宣布，公司的Bug报告奖励（bug bounty program）政策将拓展到Chrome OS平台。

　　此前，谷歌一直为私下向其报告Chrome浏览器和其它在线服务安全问题的用户提供丰厚的现金奖励。谷歌大约于两年前开始Chrome浏览器的Bug报告奖励政策，并在15个月前将这项政策拓展到包括YouTube和Blogger等15项在线服务中。截止到目前为止，谷歌在奖金方面已经花费了大约72.9万美元。

　　谷歌安全团队技术项目经理亚当•梅恩（Adam Mein）日前通过博客表示，谷歌已经收到了来自200多人的1100多条有关在线服务存的Bug报告。在符合奖励条件的730个Bug报告当中，有大约50%的Bug存在于谷歌收购获得的50余家公司开发的软件，而谷歌在这个方面总支出为42.9万美元。

　　根据谷歌Chromium博客发布另外一篇文章透露，其余的30万美元奖金主要提供给了Chrome浏览器的Bug报告者，这些Bug涉及Chrome浏览器的诸多部件，其中包括Windows内核、Mac OS X图形库、Chromium代码、WebKit浏览器引擎以及开源代码库等。

　　谷歌透露，这项Bug报告奖励政策将拓展到结束开发者模式后Chrome OS出现的“高度敏感的安全Bug”（high-severity Chromium OS security bugs），有效的Bug报告则主要包括有利用Linux内核逃避沙箱技术、内存问题、Pepper Flash插件的跨域问题以及违反启动路径等漏洞。

　　事实上，谷歌于2010年初启动的Chrome浏览器Bug报告奖励计划，最早是由软件开发者向Bug报告者提供现金奖励的项目。在去年7月，Facebook也启动了自己的Bug报告奖励项目。但到目前为止，微软、苹果和甲骨文均还没有执行相应的政策。(凯文)