Программа вознаграждения за ошибки Google теперь распространяется на любое большое приложение для Android

Программы баунти-багов стали популярным способом для разработчиков отследить проблемы безопасности в программном обеспечении, но крупные выплаты не могут позволить себе каждая компания.

Стремясь обеспечить безопасность своей платформы Android, Google объявила, что ее собственная программа по борьбе с ошибками расширяется и теперь включает в себя все большие приложения для Android независимо от того, кто их разрабатывает. Компания вознаградит исследователей безопасности, которые находят ошибки в любом приложении в Google Play Store с 100 миллионами или более установок.

Смотрите также:

Внося изменения, Google признает, что не все разработчики приложений имеют финансы для поддержки своих собственных программ вознаграждения за ошибки. Считается, что, помогая разработчикам обнаруживать ошибки в их программном обеспечении, Google сможет автоматизировать процесс проверки других приложений на те же проблемы.

Объявляя о расширении Google Play Security Reward Program, компания заявляет:

Мы расширяем возможности GPSRP, чтобы включить все приложения в Google Play с более чем 100 миллионами установок. Эти приложения теперь имеют право на вознаграждение, даже если разработчики приложений не имеют своего собственного раскрытия уязвимости или программы вознаграждения за ошибки. В этих сценариях Google помогает ответственно раскрывать выявленные уязвимости разработчику уязвимого приложения. Это открывает перед исследователями безопасности возможность помочь сотням организаций выявлять и исправлять уязвимости в своих приложениях. Если разработчики уже имеют свои собственные программы, исследователи могут получать вознаграждения непосредственно от них, помимо вознаграждений от Google. Мы призываем разработчиков приложений запускать свои собственные программы обнаружения уязвимостей или баунти за багы, чтобы работать напрямую с сообществом исследователей безопасности.

В то же время, Google также объединился с HackerOne, чтобы запустить Программу вознаграждения за защиту данных для разработчиков. Эта программа предназначена для выявления случаев злоупотребления данными в приложениях Android, расширениях Chrome и проектах OAuth. Google объясняет:

Цель этой программы – поощрить любого, кто может предоставить достоверные и недвусмысленные доказательства злоупотребления данными, по аналогии с другими программами поощрения уязвимостей Google. В частности, программа нацелена на выявление ситуаций, когда пользовательские данные неожиданно используются или продаются, или незаконно используются повторно без согласия пользователя. Если будет обнаружено злоупотребление данными, связанными с приложением или расширением Chrome, это приложение или расширение будет соответственно удалено из Google Play или Google Chrome Web Store. В случае, если разработчик приложения злоупотребляет доступом к областям с ограниченным доступом Gmail, их доступ к API будет удален. Несмотря на то, что в настоящее время нет таблицы вознаграждений или максимального вознаграждения, в зависимости от воздействия, один отчет может принести сумму в 50 000 долларов.

Узнайте больше на веб-сайте Программы поощрения защиты данных для разработчиков.