20000到91337美元，谷歌公布2022年漏洞奖励计划

2月14日，谷歌安全博客发布文章宣布，截止到2022年12月1日，谷歌将支付20000到91337美元给在Linux 内核、Kubernetes、GKE 或 kCTF 中找到漏洞的人。

2021年11月1日，谷歌启动了 kCTF VRP 的扩展，向破坏 kCTF 集群并获得标识的人支付了 31337 至 50337 美元。为了吸引社区的注意力，2022年，谷歌将增加奖励。

在过去的三个月中，谷歌一共收到了9份提交资料，到目前为止支付了超过17.5万美元。提交的材料包括五个 0day 和两个 1days0。其中三个已经被修复并公开：CVE-2021-4154，CVE-2021-22600（patch）和CVE-2022-0185（writeup）。这三个错误是由Syzkaller首先发现的，其中两个在报告给谷歌时已经在Linux内核的主线和稳定版本上被修复了。

bug提交程序

根据以往经验，谷歌改进了提交程序。

0day错误报告时，只需要提供漏洞检查集。不过仍然需要漏洞利用，并在补丁合并到主线后的一周内提交标识。请确保漏洞在最小修改下可能在COS上运行；

1day错误报告时，需要提交补丁链接，如果标识有效，谷歌将自动发布所有提交的补丁。谷歌鼓励开发者使用Syzkaller仪表板报告的链接，以减少重复提交；

开发者能够以与提交标识相同的形式提交漏洞。如果是提交0day漏洞检查集，请确保包括了原始漏洞和最终漏洞，并确保在补丁合并到主线后一周内提交。最初的漏洞不需要进行重大修改即可使用。为了方便理解漏洞，提交时请添加评论。

谷歌现在运行两个集群，REGULAR release channel和 RAPID release channel。如果漏洞只能在现代版本的Linux内核或Kubernetes上被利用时，这将提供更大的灵活性。

奖励结构调整

同时，谷歌也调整了奖励结构：

第一个有效提交漏洞的人将获得31337美元。每个漏洞只支付一次，每个集群版本/构建只支付一次（可在/etc/node-os-release中找到）。对于同一漏洞的重复利用，奖励为0美元。

0day漏洞利用奖励20000美元，但只支付给第一个有效提交者。

不需要非特权用户命名空间（CLONE_NEWUSER）的漏洞利用奖励20000美元，但只支付给第一个有效提交者。

发现使用新型漏洞技术的漏洞奖励20000美元。

其中，1day漏洞利用的奖励从31337美元增加到71337美元，单个攻击的最高奖励从50337美元上升到91337美元。

更多相关技术内容咨询欢迎前往并持续关注六星社区了解详情。

如果你想用Python开辟副业赚钱，但不熟悉爬虫与反爬虫技术，没有接单途径，也缺乏兼职经验
关注下方微信公众号：Python编程学习圈，获取价值999元全套Python入门到进阶的学习资料以及教程，还有Python技术交流群一起交流学习哦。

发表于 2022-02-18 09:48
阅读 ( 518 )
分类：行业资讯

20000到91337美元，谷歌公布2022年漏洞奖励计划

你可能感兴趣的文章

相关问题

0 条评论

作家榜 »