Google

Google本周宣布，自2010年创建抓漏奖励计划（Vulnerability Reward Program，VRP）以来，由于Google的操作系统与应用程序因此而变得愈来愈安全，也愈来愈不容易抓漏，因而决定提高抓漏奖金，最高增幅达到5倍，而奖金最多的则是重要产品的远程程序攻击（RCE）漏洞，最高可获得151,515美元。

除了提高原本的抓漏奖金之外，Google还将针对报告的品质祭出修正系数，倘若报告品质非常卓越（Exceptional Quality），那么奖金额度将可乘以1.5，品质好（Good Quality）的是1倍，品质差（Low Quality）的是0.5倍。意谓着若提出安全漏洞的报告内容并未符合标准，奖金可能就会被砍半。

Google将安全漏洞依产品重要性，分为从Tier0（T0）到Tier4（T4）的5种等级，其中，T0指的是XSS或绕过身分验证等、得以外泄用户帐户或于用户系统上运行任意程序的安全漏洞，T1则是可揭露非常敏感之用户数据的安全漏洞，而原本奖金最高的即是属于T0/T1领域的命令注射、反串行化错误及沙箱逃逸等可自远程运行程序的安全漏洞，价值31,337美元。

在新的规则中，此一T0/T1领域的远程运行程序漏洞奖金提高至101,010美元，若所提交的报告达到卓越品质，奖金即上看151,515美元，接近原本的5倍。

此外，可接管Gmail帐户的逻辑漏洞原本价值13,337美元，现在则提高到5万美元，卓越报告可增至7.5万美元；网络开发工作区IDX上的XSS漏洞奖金，也自原本的3,133.7美元提高至1万美元，卓越报告则是1.5万美元；Nest服务（home.nest.com）的身分揭露逻辑漏洞奖金，也从500美元提高至2,500美元，若属于卓越报告则达3,570美元。

Google说，其实过去他们内部就有根据漏洞报告的品质来衡量奖金，只是现在将它们公开，并公布了漏洞与奖金的计算例子，以供安全研究人员参考，进一步透明化此一抓漏奖励计划。另也针对收购6个月之后的新资产导入新的奖励等级。

近年来Google每年都颁发数百万至上千万的奖金予参与VRP的研究人员，2023年总计发出1,000万美元的奖金予68个国家的逾600名研究人员，当中有340万美元颁给了发现Android安全漏洞的研究人员，另有210万美元是奖励发现Chrome漏洞的研究人员。