A Google évek óta fizet azokért a biztonsági hibákért, amelyeket külsősök fedeznek fel. A Vulnerability Reward Program keretében most több más mellett az Android open source elemeire is kiterjesztették. Először a Chrome böngésző sikeres "megfúrásáért" fizetett ki kisebb-nagyobb összegeket a cég, majd ezt a szisztémát fokozatosan kibővítették a Google weboldalaira illetve egyéb nyílt forráskódú projektekre. Az Android bevonása különösen szélessé teszi a programot, hiszen ma már ez a oprendszer uralkodik magabiztosan az egyre duzzadó okostelefonos piacon.

Nem a Google az egyetlen szervezet, amelyik ilyen módon, úgymond közösségi projekt keretében próbálja rendszereinek biztonságát tesztelni. Hasonló ösztönzőprogram működik régóta a Mozilla alapítványnál, idéntől a Facebooknál vagy éppen a vadászatba októbertől fiatalkorúakat is beengedő PayPal-nél.

Adni öröm (és kifizetődő)

A kaliforniai egyetem kutatói nemrégiben készítettek is egy anyagot, amelyben az ilyen rendszerek működési sajátosságait és hatékonyságát térképezték fel. A kutatásban a Mozilla és a Google biztonsági programjának elmúlt három évét vizsgálták. Ebben az időszakban a Mozilla összesen 570 ezer dollárt fizetett ki azoknak, akik a Firefoxban sérülékenységet találtak. A Google ugyanezen időszakban 580 ezer dollárt a Chrome böngésző sérülékenységeit beküldőknek. A Firefox-ban 190, a Chrome-ban pedig 501 biztonsági rést sikerült így feltárni, ami a Firefox esetében az ezen időszakban feltárt összes sérülékenység 24 százalékát tette ki, a Chrome esetében pedig a 28 százalékát. A hasonló összegek mellett a darabszámok nagy eltérését az adja, hogy a Mozilla fix díjat (3000 dollár) fizet, míg a Google a biztonsági hiba nagyságrendjével arányosan díjaz (pár száz dollártól egészen több tízezerig).

Az említett egyetemi tanulmány szerzői arra jutottak, hogy érdemes ezzel a módszerrel külsősöket is bevonni a hibák feltárásába. Így ugyanis sokkal több embert tudnak mozgósítani a biztonság tesztelésére, aminek köszönhetően nagyobb valószínűséggel lepleződhetnek le a kritikus problémák. Ráadásul ez a módszer gazdaságos is, gyakorlatilag teljesítményalapú, azaz sokkal jobban megéri, mint főállású szakértőket alkalmazni. A jutalmakra kifizetett összegből ugyanis legfeljebb egy-két fővel tudták volna bővíteni a biztonsági csapatukat. Velük azonban nem tudtak volna ennyi hibát feltárni.