Google近日宣布将改变Pwnium黑客竞赛的规则——把一年一度的单日竞赛延伸至全年,让全球各地的安全研究人员随时都能提交漏洞并取得奖金。
Google改Pwnium黑客竞赛规则 可随时提交bug
Chrome安全团队的Tim Willis在博客中写道:“如果现在安全专家已经发现了具备Pwnium级别的BUG,极有可能会等到每年举行的安全大会上才会选择曝光来获得奖金。这无论对于那个方面来说都是非常糟糕的”。
Tim Willis还称“对于我们来说这个BUG没有及时修复可能会让我们的客户处于风险中。对于他们来说则可能会产生BUG冲突,其他人也发现了这个BUG从而提前领取了奖金。所以Pwnium黑客大赛自现在开始允许安全专家全年登记BUG,这样BUG冲突会显著减少。”
Google于2012年开始举办Pwnium黑客竞赛,以高额奖金邀请全球黑客到场参与并攻击Chrome漏洞,除了首年办两场Pwnium竞赛之外,2013与2014年也各办了一场,去年的总奖金为271万美元。今年Google决定改变该竞赛的规模,把原来集中在单日的比赛变更为全年的Debug奖励,并强调Google将提供“无限”的Pwnium奖金。
Pwnium竞赛的最高奖金为15万美元,激励了全球黑客的参与。不过这个竞赛有许多限制,比如研究人员必须先注册、要出席竞赛场合进行简报、必须能成功展示攻击程序可攻陷未来版本的Chrome,提供完整的攻击程序内容,必须当场使用最新的Chromebook攻陷bug,最先成功的才获奖等等。
Google表示,即使研究人员握有一个符合各种资格的Bug,也必须冒著Google可能已经修补该Bug,或是有其他研究人员也提交同样Bug的风险。因此,若能在发现Bug之后马上提交,不论对研究人员、Google,或使用者来说都是最安全的作法。
因此,Google决定改变Pwnium竞赛的规则,允许研究人员随时可藉由Chrome抓漏奖励计划(Chrome Vulnerability Reward Program,Chrome VRP)提交Bug,Google会在Chrome VRP新增类似Pwnium竞赛的奖金制度,最高奖金提高到5万美元,并将全年提供。
Google并没有确定Pwnium未来将如何发展,不过有分析认为此举也许意味着Pwnium黑客竞赛活动即将消失,至少Google将不再举办单日的Pwnium竞赛。
【点击进入“天极网企业频道”认证微博】
