漏洞是软件开发中的一个现实，对程序员和用户来说都是痛苦的。安全漏洞尤其令人讨厌，为了尽可能多地消除这些漏洞，谷歌现在正在为捕捉 Chrome 和 Chromium 的缺陷支付现金。

这项新计划以 Mozilla 成功的漏洞奖励计划为蓝本，将向报告开源 Chromium 浏览器或谷歌 Chrome 实现代码中“有趣且原始的漏洞”的漏洞捕捉者支付奖励。谷歌的 Chris Evans 在 Chromium 官方博客上宣布了该计划，将其描述为对现有贡献者的“感谢之情”，以及对新参与者的激励。

只有与安全相关的漏洞才会被考虑，重点是那些被 分类为“高”和“危急”严重性的漏洞，尽管任何“巧妙的漏洞”都可以被考虑。只有特定漏洞的首次报告才会被考虑，项目中漏洞跟踪器的第一条记录将被视为最早的报告。一个由 Adam Barth、Chris Evans、Neel Mehta、SkyLined 和 Michal Zalewski 组成的奖励委员会将决定哪些漏洞符合资格，以及特定报告是否构成一个或多个漏洞。

无论是 Dev、Beta 还是 Stable 渠道的 Chrome 和 Chromium 漏洞都将被考虑，前提是该缺陷出现在项目的代码中。来自第三方的插件、扩展程序和其他附加代码没有资格。但是，共享组件可能有资格，前提是它们位于浏览器本身中 — Evans 引用了“WebKit、libxml、图像库、压缩库等”作为示例。该帖子没有明确说明是否需要提前公开披露，仅表示“我们鼓励负责任的披露”。

符合条件的漏洞的标准付款为 500 美元，对于“特别严重或特别巧妙”的漏洞，有一个特别的 — 而且滑稽的 — 奖励为 1337 美元。除了现金之外，被选中的个人将在 Chrome 的发行说明中获得署名，并被提名为 Google 的“谢谢”页面。该项目的贡献者有资格，尽管那些“在相关领域工作或审查代码的人”将不符合资格。标准法律免责声明适用 — 不向美国出口限制国家/地区付款，未成年人除非由成年人代表，个人负责税务和其他法律责任等。

到目前为止，尚未公布任何奖励，但 Evans 表示，第一批奖励将在 Chrome 发布博客上突出显示。用金钱换取漏洞的承诺是否会导致安全搜索者的涌入还有待观察，但任何碰巧瞥见缺陷的人都应该提交它。毕竟，谁不需要额外的 1337 美元呢？

图片由 Hamed Saber 提供。