Током последњих месеци Гоогле је посебну пажњу посветио безбедносним питањима налази у језгру Линук и КубернетесКао и у новембру прошле године, Гоогле је повећао величину исплата пошто је компанија утростручила награде за коришћење раније непознатих грешака у Линук кернелу.
Идеја је била да људи могу открити нове начине за експлоатацију кернела, посебно у односу на Кубернетес који ради у облаку. Гоогле сада извештава да је програм за проналажење грешака био успешан, примио је девет извештаја за три месеца и исплатио више од 175,000 долара истраживачима.
И то кроз пост на блогу Гугл је поново објавио најаву о проширењу иницијативе да платите новчане награде за идентификовање безбедносних проблема у Линук кернелу, платформи за оркестрацију Кубернетес контејнера, Гоогле Кубернетес Енгине-у (ГКЕ) и Кубернетес Цаптуре тхе Флаг (кЦТФ) окружењу рањивости.
У посту се то помиње сада програм награђивања укључује додатни бонус 20,000 долара за рањивости нултог дана за експлоатације које не захтевају подршку корисничког простора имена и за демонстрацију нових техника експлоатације.
Основна исплата за демонстрацију радног подвига на кЦТФ-у је 31 долара (основна исплата се додељује учеснику који први покаже радни експлоат, али бонус исплате се могу применити на следеће експлоатације за исту рањивост).
Повећали смо наше награде јер смо препознали да морамо да ускладимо наше награде са њиховим очекивањима да бисмо привукли пажњу заједнице. Сматрамо да је проширење било успешно, па бисмо желели да га продужимо бар до краја године (2022).
Током последња три месеца, примили смо 9 поднесака и до сада смо платили преко 175 долара.
У публикацији то видимо укупно, узимајући у обзир бонусе, максимална награда за подвиг (проблеми идентификовани на основу анализе исправки грешака у бази кода који нису експлицитно означени као рањивости) може достићи до 71 долара (раније је највећа награда била 31 долара), а за проблем нултог дана (проблеме за које још нема решења) плаћа се до 337 долара (раније је највећа награда била 91,337 долара). Програм плаћања важиће до 31.
Важно је напоменути да је у последња три месеца, Гоогле је обрадио 9 захтева цса информацијама о рањивости, за шта је плаћено 175 хиљада долара.
Истраживачи који су учествовали припремили су пет експлоатација за рањивости нултог дана и два за рањивости од једног дана. Три решена проблема у Линук кернелу су јавно откривена (ЦВЕ-1-2021 у цгроуп-в4154, ЦВЕ-1-2021 у аф_пацкет и ЦВЕ-22600-2022 у ВФС) (ови проблеми су већ идентификовани преко Сизкаллер-а и за кернел додане су поправке за два проблема).
Ове промене повећавају неке једнодневне експлоатације на 1 долара (у односу на 71 долара) и чине максималну награду за један експлоат од 337 долара (у односу на 31 долара). Такође ћемо платити чак и за дупликате најмање 337 УСД ако покажу нове технике експлоатације (уместо 91 УСД). Међутим, такође ћемо ограничити број награда за 337 дан на само једну по верзији/градњи.
Постоји 12-18 ГКЕ издања годишње на сваком каналу, а имамо две групе на различитим каналима, тако да ћемо платити основну награду од 31 УСД до 337 пута (без ограничења за бонусе). Иако не очекујемо да ће свако ажурирање имати важећу 36-дневну испоруку, волели бисмо да чујемо другачије.
Као такво, у саопштењу се наводи да збир уплата зависи од неколико фактора: да ли је пронађени проблем рањивост нултог дана, да ли су потребни непривилеговани кориснички простори имена, да ли користи неке нове методе експлоатације. Сваки од ових поена долази са бонусом од $ КСНУМКС, што на крају подиже плаћање за радни експлоат на $ КСНУМКС.
Коначно сАко сте заинтересовани да сазнате више о томе о белешци, можете проверити детаље у оригиналном посту У следећем линку.