谷歌云发布新的漏洞奖励计划 (VRP)，如研究员能发现相关产品和服务的漏洞，则最高可获得101010美元的奖励。

这项新的VRP涵盖了460多款产品和服务，研究人员将与谷歌云安全工程师直接交流，使漏洞能够更快地被诊断、复现和评估。谷歌指出，“虽然更广范围的谷歌VRP已经涵盖了谷歌云，但专门针对谷歌云的VRP能让我们更加深度投入，找到更安全的云。”

感兴趣的研究人员将继续使用与谷歌、Chrome、安卓和 Abuse VRP一样的漏洞报送门户，并将从改进的奖励结构获益。

和往常一样，谷歌建议研究员提供针对已识别攻击场景的详细报告，并按照RRP的指南提交报告，让谷歌工程师轻松复现漏洞。谷歌提到，“确保说明谁希望利用某个特定漏洞以及他们可能获得的结果。在解释这些攻击场景时，你可能要思考攻击者的起始位置以及攻击的前提条件。另外最好做出关于受害者的假设。”

谷歌云在VRP的规则页面解释称，XSS、CSRF、混合内容脚本、认证/授权，服务器端代码执行和跨站泄露 (XSLeak) 漏洞涵盖在漏洞奖励范围内。其中还提到，可导致远程代码执行、完全控制的RPC和完全控制或绕过所有 IAM 检查的漏洞可助力研究员获得顶级赏金。导致其它类型的IAM绕过和跨租户数据泄露漏洞可使研究员获得最高5万美元的赏金。

参会人员如希望获得最高赏金，则需要演示漏洞的真实安全影响并提供高质量报告。如能提供高质量报告，则研究人员可获得1.5倍的赏金。谷歌提到，“在调查漏洞时请只针对自己的账户。永远不要试图访问别人的数据，也不要参与任何会对其它用户或谷歌造成损害或带来损失的活动。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~