Google Play сворачивает программу поощрения за поиск уязвимостей
Поискали, теперь хватит.
Google Play Security Reward Program (GPSRP), программа поощрения за поиск уязвимостей в Android-приложениях, завершает свою работу 31 августа. Об этом компания Google сообщила разработчикам по электронной почте.
Программа GPSRP была запущена в октябре 2017 года с целью повышения безопасности Android-приложений. В её рамках исследователи безопасности получали вознаграждение за обнаружение и сообщение об уязвимостях в популярных приложениях из маркета Google Play.
Изначально в программе могли участвовать только некоторые разработчики, а вознаграждение выплачивалось за уязвимости в ограниченном числе приложений. Со временем GPSRP расширила свой охват на все приложения с аудиторией более 100 млн установок.
По словам Google, решение о закрытии программы было принято в связи со снижением количества сообщений об уязвимостях. Компания связывает этот успех с повышением безопасности операционной системы Android и усилиями по укреплению защиты приложений. По крайней мере, так заявлено официально.
Закрытие GPSRP — событие неоднозначное, как считают эксперты. С одной стороны, оно свидетельствует о том, что разработчики приложений добились значительного прогресса в области безопасности. С другой стороны, отсутствие материального стимула может привести к тому, что исследователи безопасности будут менее заинтересованы в поиске и сообщении об уязвимостях, особенно в приложениях от разработчиков, не имеющих собственных программ Bug Bounty.
Тем не менее, за годы работы GPSRP успела принести ощутимые результаты. Собранные в рамках программы данные были использованы Google для создания автоматизированных систем сканирования, которые проверяют все приложения в Google Play на наличие уязвимостей. Благодаря этому удалось исправить более миллиона приложений, что, несомненно, повысило безопасность пользователей Android.
