0
0
O Google e o Android agora avaliarão os relatórios de divulgação de vulnerabilidades do dispositivo com base no nível de informações que os caçadores de bugs fornecem, a fim de incentivar envios mais abrangentes.
Os relatórios de vulnerabilidade enviados ao Android e ao Google Vulnerability Reward Program (VRP) serão classificados como de qualidade “Alta”, “Média” ou “Baixa” com base nesses elementos, de acordo com o Google Security:
- A precisão e os detalhes da descrição da vulnerabilidade
- Análise de sua causa raiz
- Prova de conceito
- Reprodutibilidade
- Evidência de acessibilidade
Google e Android também aumentaram o prêmio máximo de recompensa por bugs para US$ 15 mil.
“Além disso, a partir de 15 de março de 2023, o Android não atribuirá mais vulnerabilidades e exposições comuns (CVEs) à maioria dos problemas de gravidade moderada”, disse a postagem do blog de segurança do Google anunciando as mudanças no VRP. “Os CVEs continuarão a ser atribuídos a vulnerabilidades críticas e de alta gravidade.”
O fundador e diretor de tecnologia (CTO) da Bugcrowd, Casey Ellis, aplaude o esforço do Google para definir os elementos de uma divulgação de vulnerabilidade de alta qualidade.
“Nada acontece sem uma comunicação efetiva. … O poder do crowdsourcing traz variabilidade na forma como os enviadores de vulnerabilidade se comunicam e a eficácia a jusante do relatório em comunicar o risco àqueles que precisam corrigi-lo”, diz Ellis, em resposta às novas regras do VRP. “O Google se intensificar para ajudar a educar a comunidade de hackers sobre ‘as coisas que tornam a comunicação mais eficaz’ é uma enorme vitória tanto para o espaço quanto para a própria comunidade.”
Somente em 2022, os VRPs do Google pagaram um recorde de US$ 12 milhões em recompensas por bugs.
FONTE: DARK READING