【獎賞加碼】Google升級賞金項目洗白Play Store
唔少 IT 公司或應用軟件開發商都有自己嘅網絡安全團隊,不過隨住開發時間愈縮愈短,就算行埋 DevOp 甚至 DevSecOp 制,都只可以盡量減少軟件推出後嘅漏洞問題,所以唔少 IT 巨頭好似 Google、Microsoft、Facebook、Tesla 都會推出賞金計劃,鼓勵街外人幫手捉蟲。
作為 Android 作業系統開發者,Google 面對住嘅其中一個大難題,就係 Play Store 上由第三方開發商推出嘅 app 有太多安全問題,根本點睇都睇唔切, 所以 Google 喺 2017 年推出咗 Google Play Security Reward Program(GPSRC),只要 Android 系統開發者有意幫手捉蟲,經審查後就可以加入,而當搵到 Android app 嘅漏洞及獲得證實後,都可以收到賞金。
雙重獎賞清除漏洞
Google 最近就再降低入門門檻,唔使網絡安全專家事先申請都可以參加,只要隻 app 喺 Play Store 嘅下載安裝量達到一億以上就適用,而無論應用軟件開發者本身有無賞金計劃,Google 都會另外再俾錢,所以舉報者絕對有機會攞到雙重賞金。最重要係 Google 收集到呢啲漏洞或威脅後,就會加入自家嘅 App Security Improvement(ASI)偵測計劃,用嚟 scan Play Store 上其他 app,當發現有 app 出現問題,就會發出警告俾開發商,教埋佢哋點樣解決漏洞,咁就可以增加平台嘅安全性。
Google 話 ASI 計劃推出以嚟,喺 2018 年已經幫 3 萬個開發商解決問題,減少咗 7.5 萬 app 出現喺 Play Store 上。除咗搵漏洞,Google 亦推出 Developer Data Protection Reward 計劃,目的係希望借助外力,去搵出 Play Store 上嘅 app 及 Chrome 瀏覽器擴充軟件,有無濫用收集返嚟嘅用戶私隱,有嘅話就唔會再供應 API 俾佢哋用。雖然未講明會有幾多賞金,但根據 Google 過往嘅俾錢經驗,專家估計最多會俾 5 萬美元賞金,你話係咪直頭可以全職咁做呢!
