找到Chrome漏洞　Google將提供獎金

Google上周宣布將開始獎勵找到Chrome漏洞的外部安全研究人員，只要提供合格的漏洞報告，以改善產品安全性，基本獎金為500美元，最高可得到1337美元，以提昇Chromium開放源碼的安全性，獎金則由Google負責支付。

Google Chrome安全團隊成員Chris Evans在部落格中說明了獎勵制度，表示不論是Chrome或Chromium漏洞都在獎勵範圍，雖然Google是鎖定具高度且重要影響的漏洞，不過任何嚴重等級的微細漏洞也有機會獲得報酬。

有趣的是，1337美元的由來為駭客語─Leet，是BBS、線上遊戲或駭客社群所使用的文字書寫方式，把拉丁字母轉為數字或特殊符號，而Leet轉成數字便是1337。

當然，同一漏洞只有第一個提出的研究人員可取得獎勵金，另外，來自第三方外掛程式的安全漏洞則不在授獎之列。

另外，Google也鼓勵研究人員把所發現的漏洞私下提供給Chromium開發人員，即所謂的責任性揭露，讓開發團隊先行修補，否則便不符合獎勵資格。

軟體產業最早提出臭蟲揭露獎勵制度的是Mozilla，Mozilla在2004年就開始號召研究人員發掘其開放源碼計畫的安全漏洞，並提供每個漏洞500美元的獎金。

有一研究人員Dino Dai Zovi曾於去年3月喊出「不再有免費臭蟲」（No more free bugs）的口號，認為漏洞具有合法價值，免費漏洞還有法律上的風險，需要有更合法及透明的方式使安全研究得以獲利。

多數研究人員認同Google的措施，因為這將讓研究人員更有動力找出Chrome或Chromium的安全漏洞，另一方面也保障了Google產品安全。（編譯/陳曉莉）