谷歌表示,从Chromebook到云端,它在“几乎所有东西”中都使用Linux。现在,它正在为能够发现开源操作系统中的缺陷的安全研究人员增加奖励。自2020年以来,谷歌运行了一个名为kCTF的基于Kubernetes的开源捕获标志(CTF)项目,该项目允许研究人员连接到其谷歌Kubernetes引擎(GKE)实例并尝试破解它们以捕获标志。到目前为止,每个“标志”都是通过Linux内核漏洞导致的容器破坏。现在,谷歌已经建立了一套缓解措施,它认为这将使它在过去一年中收到的大部分漏洞和利用更难被利用。谷歌表示,它将向能够克服这些缓解措施的黑客提供高达133,337美元的奖金。现在,它为危及最新Linux内核的新漏洞额外提供21,000美元,并为可以“显然”在其自定义实例中绕过实验性漏洞缓解措施的黑客另外提供21,000美元。这使总奖金高达133,337美元。kCTF程序强调寻找针对内核的新漏洞,而不是新漏洞。谷歌热衷于为Linux内核开发保护措施,该内核用于Android、Chromebook和谷歌云工作负载。在2月临时引入此赏金范围后,谷歌现在还无限期地为新内核漏洞利用提供20,000美元至91,337美元的奖励。谷歌的爱德华多·维拉(EduardoVela)表示:“新实例将用于请求社区帮助我们评估最新和更具实验性的安全缓解措施的价值,而不是简单地了解稳定内核的当前状态。”“通过kCTFVRP程序,我们正在构建一个管道来分析、试验、测量和构建安全缓解措施,以便在安全社区的帮助下使Linux内核尽可能安全。我们希望,随着时间的推移,我们将能够做出安全缓解措施,使利用Linux内核漏洞变得尽可能困难。”
