Компания Google объявила о внесении обновлений в программу kCTF (Capture-the-Flag для Kubernetes). Она продлила на неопределённый срок выплату увеличенного вознаграждения, о котором было объявлено ранее в этом году. То есть компания продолжит делать выплаты в пределах от $20 000 до $91 337 за взлом предложенных демонстрационных кластеров kCTF на базе инстансов Google Kubernetes Engine (GKE). Эта выплата будет осуществляться в дополнение к существующим вознаграждениям за исправления для упреждающих улучшений безопасности.
Однако Google заметила, что на текущий момент все уязвимости, позволяющие покинуть контейнер, были связаны с проблемами в ядре Linux. Поэтому компания запустила новые окружения (инстансы) с дополнительными наградами, чтобы оценить защищённость последнего стабильного релиза ядра Linux, а также новые экспериментальные средства защиты. Компания отметила, что разработанные ей меры защиты усложнят использование большинства обнаруженных в прошлом году багов (уязвимостей — в 9 из 10 случаях, эксплойтов — в 10 из 13 случаев).
Источник изображения: Pixabay
За создание новых эксплойтов для свежей стабильной ветки ядра Linux компания дополнительно заплатит $21 000. Для тех, кто скомпрометирует специальное ядро с расширенными экспериментальными патчами от Google, дополнительное вознаграждение составит $21 000. Таким образом, суммарно можно получить до $133 337. Ранее Google призвала другие компании выделять больше инженеров для разработки и сопровождения ядра Linux, а в прошлом году компания совместно с Linux Foundation выделила средства на оплату работы двух специалистов по обеспечению безопасности ядра.
Источник:
