谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

谷歌漏洞对接员 Eduardo Vela 解释称，“我们提高漏洞奖励是为了吸引社区注意力，把奖励提高到符合他们预期的水平。我们认为这样做成功了，因此我们想要将其至少延长到2022年年底。”

最初在2021年11月谷歌称，根据严重程度，严重漏洞报告将获得最高50,337美元的奖励，而当前最高奖励金将达到91,337美元。获得最高奖励取决于多个条件，包括漏洞是否为0day、是否要求低权限用户名称空间以及是否使用了新型exploit 技术。每个条件均有2万美元的额外奖金，因而第一份提交有效exploit 的研究员将获得最高91,337美元的奖励。

Vela 解释称，“这些变更将某些1day漏洞的奖励从31,337美元增加到71,337美元，因此单个exploit的最高奖励将从50,337美元增加到91,337美元。如果这些漏洞证明了新型exploit技术，则即使提交重复，仍然将获得最少2万美元的奖励（原先无奖励）。然而，1day获得奖励的数量为每个版本/build 一个。”即，虽然谷歌将不对同样缺陷的重复exploit 支付奖励，但研究员即使提交了重复漏洞的exploit，只要该exploit技术是创新技术，则仍然可获得2万美元的奖励。

自去年11月起，谷歌已总计为9个漏洞发放超过17.5万美元的奖励，其中包括5个0day和2个1day。谷歌表示已修复其中3个漏洞：CVE-2021-4154、CVE-2021-22600和CVE-2022-0185。

Vela 指出，“这三个漏洞是由 Syzkaller 发现的，其中2个已在Linux Kernel 的主线和稳定版本修复。”

2021年7月，谷歌指出自10年前推出首个VRP 计划后，已经向来自84个国家的2000多名研究员发放奖励，他们共发现约1.1万个bug。谷歌表示，自2010年1月起总计已发放2900万美元的奖励，当时 Chromium 漏洞奖励计划推出。上周，谷歌发布2021年度漏洞奖励计划回顾报告指出，2021年该公司共发放870万美元奖励，安卓VRP为一个利用链颁发出史上最高奖励：15.7万美元。