URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 133104
[ Назад ]
Исходное сообщение
"В 2023 году Google выплатил 10 млн долларов вознаграждений за выявление уязвимостей "
Отправлено opennews , 13-Мрт-24 09:10 
Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в Chrome, Android, приложениях Google Play, продуктах Google и различном открытом ПО. Общая сумма выплаченных в 2023 году вознаграждений составила 10 млн долларов, что на 2 млн меньше, чем в 2023 году и на 1 млн больше, чем в 2022. Вознаграждения получили 632 исследователя (в прошлом году - 703). С 2010 года суммарный размер выплат составил 59 млн долларов...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60780

Содержание
Сообщения в этом обсуждении
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 09:34 
Хромой и Андроид, 2 бага исправили, 3 новых добавили.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Минона , 13-Мрт-24 10:22 
Цель гугла "снизим порог входа в ИТ" достигнута.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 13:30 
Думаю даже с такими условиями они "только выиграли".
Сначала снизим порог входа, потом посмотрим на типичные ошибки, след шаг - настроить процессы так, чтобы этих ошибок максимально избегать.

Я бы вспомнил Раст, но он исправляет типичные ошибки 30-40 летней давности.
Возможно в то время был аналогичный период: когда изучать 10 ассемблеров под одну архитектуру уже не нужно, достаточно выучить СИ.
Такой себе пхп 80х, для тех кто не осилил асм.

"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Минона , 13-Мрт-24 14:34 
> Я бы вспомнил Раст, но он исправляет типичные ошибки 30-40 летней давности.

Это какие?
А какие сейчас типичные?

"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 15:54 
Да все те же)
Постоянные проблемы с памятью, одинаковые уже десятки лет - use-after-free, double-free и out-of-bounds.

Это я к тому, что новый виток "понизим уровень входа" может породить еще какие-то ошибки.
Новые, а не типичные и привычные сейчас.
Но мы о них узнаем лет через 5-7)

"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 17:48 
Приукрашиваешь, большинство issues любого проекта не имеют никакого отношения к памяти.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 18:59 
Большинство issue не приводят к получению рута или RCE.
И их приоритет будет низкий.
Да, если у кого-то попозл UI или иногда падает проложение это неприятно, но не критично.
Но оно может валяться в беклоге годами.

А вот проблемы с памятью выливаются в 70% security bugs.

"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Минона , 13-Мрт-24 22:59 

> Это я к тому, что новый виток "понизим уровень входа" может породить
> еще какие-то ошибки.

Да куда уж ниже то?!
И так уже ИИ выучили на джуна.
🙈

"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Массоны Рептилоиды , 13-Мрт-24 10:34 
По сравнению с прошлым годом - на 2 миллиона меньше выплатили.
Вот что проталкивания того, кого нельзя называть на опеннете (ржавого цвета) делает.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Онанимус , 13-Мрт-24 11:21 
Так вот почему такая ненависть к расту как к поделке корпорастов. Он внезапно экономит деньги на тратах по заделиванию дырок, а это в интересах корпораций. А копроратам надо копротивлятся => ржавый предатель опенсорыца
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 17:54 
Не, из сэкономленных на обездыривании денег придется вычесть затраты на переписывание (раз этак в 100 больше) и еще столько же на организацию комитета по контролю за исполнением CoCа. На такое никакого бюджета не хватит.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 11:35 
Все правильно!
Тут местные копротивляторы против "цифровой турмы" мне рассказывали, что уязвимости с рут доступом это круто.
Так как они дают возможность рутовать девайс.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено ОШИБКА Отсутствуют данные в поле Name , 13-Мрт-24 11:50 
Ну а в чём они не правы? Предлагаю разобраться.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 12:18 
А сколько заработали хакеры за тот же период? В гуглоблоге постоянно пишут "Google is aware that an exploit for CVE-????-???? exists in the wild"
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 15:42 
Об эксплоитах сообщают когда уже нельзя на них заработать.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 22:16 
А те, кто не пошел с эксплоитом в даркнет, а написал отчёт в Гугл - это, что, не хакеры?

Как же деградировал термин, ужас

"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 14-Мрт-24 15:58 
А разве говорилось, что это не хакеры? Включите и эти деньги от Гугла, интересно, какую долю от общего дохода хакеров они составляют.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено сщта , 13-Мрт-24 13:34 
На Опеннет есть люди получившие вознаграждения от Гугла за обнаружения уязвимостей? Друг интересуется.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено OpenEcho , 13-Мрт-24 22:43 
> На Опеннет есть люди получившие вознаграждения от Гугла за обнаружения уязвимостей? Друг интересуется.

Скажите другу, что в гугле получают значительно больше вознаграждений за програмирование таких уязвимостей, - зарплата называется

  

"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Anonim , 14-Мрт-24 12:11 
Я отсылал репорт о неисправной работе Google Chrome ы 2019 году. В итоге вообще никакого ответа не получил, даже спасибо. А указанный мной баг был молча исправлен.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Gemorroj , 13-Мрт-24 15:31 
про наш яндекс эту рекламу религия мешает написать? https://club.dns-shop.ru/digest/115155-v-2023-godu-yandeks-v.../
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 15:40 
Про твой личный яндекс?
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 16:06 
В США реально выплачивают незнакомым людям. В России деньги выплачивают "своим", и потом эти "свои" заранее договорившись, делятся деньгами с определёнными людьми. В России схематозники, в США рельаные хакеры.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 18:00 
Этак пока доберутся до переписывания на Rust успеют все дыры позакрывать и оно потеряет смысл. А все новые проекты уже пишут на современном стандарте C++ с MiraclePtr и тщательно проверяют санитайзерами.
"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 13-Мрт-24 19:09 
> на современном стандарте C++ с MiraclePtr

Угу, вот только оно работает совершенно не "волшебно".
opennet.ru/opennews/art.shtml?num=60482
Увеличиваются накладные расходы в 5.5-8% потребления памяти и торможение на 1.5%.
А улучшение "защиту от 57% уязвимостей класса use-after-free" это типа подбросить монетку 'то ли пофиксили, то ли нет'

"В 2023 году Google выплатил 10 млн долларов вознаграждений з..."
Отправлено Аноним , 14-Мрт-24 02:34 
Хочешь сказать, что накладные расходы на расте не увеличиваются и всё происходит волшебным образом?