抓漏洞给奖金 谷歌赏钱微软不认同

Google为了鼓励安全研究员抓Chrome浏览器的安全漏洞，宣布凡是找到程序错误就给500美元赏金。但部分专家表示，奖金太低，对老练的研究员不具吸引力。
根据Google上周宣布的”实验性”奖赏方案，凡是在Chrome程序代码中发现特定有趣、不寻常的安全隐患者，给奖金500美元；发现特别严重或刁钻的漏洞则致赠奖金1,337美元。

Mozilla也提供500美元奖金，给找出Firefox浏览器、Thunderbird电邮程序或Mozilla套装软件安全漏洞的研究员。

WhiteHat Security负责人Jeremiah Grossman认为，Google的计划可能带动一股趋势。他说：”如果研究员纯粹对奖金有兴趣，绝对会追求最高额奖赏。但如果你只是乐在其中，抓错的同时又有钱可拿，何乐不为。我长久以来建议微软也这么做，但他们觉得这涉及道德上的问题。”

微软坚持不给奖金的立场

微软电脑运算经理Dave Forstrom说：”微软不犒赏安全隐患信息的发现人员。我们不认为给酬劳换取安全隐患信息是协助保护顾客的最佳方式，也不认为这能助长一个健康的生态链。”

Cigital负责人Gary McGraw认为，付酬劳给专业测试（QA）人员和渗透测试者，比用小钱奖励一般民众协助抓漏洞好。他说：”杰出的专业测试者不会受这么低的奖金吸引--或许青少年会为了赚啤酒钱而做。”

独立安全评估公司（ISE）资深研究员Charlie Miller更直言：”我认为这很荒谬，简直是侮辱人。奖金太低。”

Miller认为，软件行业是应该在外部研究员找出他们商用软件的安全漏洞时，给予报酬，但Google提供的奖金远不如VeriSign iDefense的安全隐患计划，以及3Com旗下TippingPoint部门的零时差计划（Zero Day Initiative，ZDI）。

他说：”如果我真的找到一个Chrome的安全漏洞，我可能卖给ZDI，赚个2,000美元，他们最后还是会通报给Google知道，那么我又何必将就于Google的500美元？这不合理嘛。”

ZDI计划负责人Pedram Amini拒绝透露安全漏洞悬赏计划的确切奖金金额，只承认”平均而言是Google奖金的十倍以上”。

iDefense Intelligence总监Rick Howard表示，Google的悬赏计划跟iDefense支付的奖金相比偏低，但他认为Google的计划应会成功。

针对500美元是否不足以吸引安全人员抓虫的问题，Google安全团队（Security Team）成员Chris Evans则在电子邮件中指出：”这项计划经过谨慎的设计，希望让各式各样的程序臭虫（bugs）都符合给奖条件，并且让研究员更容易参与。例如，我们未必需要一份可行的范本程序（exploit），这通常比抓虫难得多。”