The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В 2024 году Google выплатил 17.1 млн долларов вознаграждений за выявление уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В 2024 году Google выплатил 17.1 млн долларов вознаграждений за выявление уязвимостей"  +/
Сообщение от opennews (??), 12-Мрт-26, 20:43 
Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в Chrome, Android, приложениях Google Play, продуктах Google и различном открытом ПО. Общая сумма выплаченных в 2025 году вознаграждений составила 17.1 млн долларов, что на $5.3 млн больше, чем в 2024 году и на $7.1 млн больше, чем в 2023 году. Вознаграждения получили 747 исследователей (в 2024 году -  660, в 2023 - 632). С 2010 года суммарный размер выплат составил 81.6 млн долларов...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64978

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

3. Сообщение от Георгий (??), 12-Мрт-26, 20:57   +3 +/
За такие деньги можно начать добавлять уязвимости, чтобы потом их находить
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от 00 (?), 12-Мрт-26, 21:13   +1 +/
Оно так и происходит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

6. Сообщение от Аноним (9), 12-Мрт-26, 21:27   +/
Молодцы, абсолютный win-win для всех.
Apple даже увеличила награду до $2 млн.:
https://security.apple.com/blog/apple-security-bounty-evolved/
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Xo (?), 12-Мрт-26, 21:29   +1 +/
Корпорация добра
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

9. Сообщение от Аноним (9), 12-Мрт-26, 21:41   +2 +/
>Размер самой большой единичной выплаты составил 250 тысяч долларов

Учитывая, что в США за финансовые махинации могут быть многомиллионные штрафы и сроки вплоть до пожизненного, вряд ли найдутся достаточно компетентные люди, чтобы этим заниматься.
Или у вас есть пруфы ?  

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #52

10. Сообщение от Аноним (9), 12-Мрт-26, 21:44   +/
Ну, а что в этом плохого ?
Получать вознаграждение за свой труд ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #60

11. Сообщение от Анон1110м (?), 12-Мрт-26, 21:48   +/
А насколько это достоверная информация? Может там в Google какие–то начальнички сами себе и/или кому нада выплачивают?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

15. Сообщение от Аноним (9), 12-Мрт-26, 22:23   +/
>начальнички

Зачем "начальничкам" Гугла рисковать карьерой и репутацией за эти "копейки", если они могут легально зарабатывать больше ?

Чистая прибыль Alphabet за 2025 год - $132,1 млрд.:
https://vc.ru/invest/2722808

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #43, #67

23. Сообщение от Сладкая булочка (?), 12-Мрт-26, 23:14   –1 +/
> Из потраченной в 2025 году суммы $2.9 млн (в 2024 году $3.3 млн, в 2023 - $3.4 млн) выплачено за уязвимости в Android.

Внедрение раста итоги.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

30. Сообщение от Алексей (??), 13-Мрт-26, 01:22   +4 +/
В статье вполне нормально написано, что злоумышленники теперь не пытаются найти проблемы с памятью (потому что бесполезно), а переключились на поиски ошибок в логике. Так что позитивные результаты есть.

The investment in platform hardening is reshaping the threat landscape. As memory-safe languages and hardware mitigations successfully neutralize traditional memory corruption primitives, we observed a distinct tactical shift in 2025. The year’s most sophisticated exploit chains relied less on breaking code and more on logic vulnerabilities. This evolution confirms our strategy: we aren't just patching bugs; we are forcing attackers to rewrite their playbooks.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #31, #32

31. Сообщение от Сладкая булочка (?), 13-Мрт-26, 01:39   +1 +/
> что злоумышленники теперь не пытаются найти проблемы с памятью (потому что бесполезно)

Поживем, посмотрим.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от Сладкая булочка (?), 13-Мрт-26, 01:42   +/
Ага, а выше

> In particular, Chrome researchers dug into the v8 sandbox, finding several holes and providing new classes of escape for the v8 team to remove, thus strengthening the security boundary the v8 sandbox provides. To achieve this, researchers created novel in-process instrumentation and fault injection mechanisms, working on the leading edge of academic fuzzer research.
>
> Pivoting to memory safety efforts – While improvements like raw_ptr and object quarantining within Chrome have reduced the number of reported sandbox escapes with full chain exploits, two researchers were still able to find logic bugs in Chrome’s IPC mechanisms with demonstrated exploitation, leading to rewards of $250,000.

То еcть хром, который также работает в андроиде тоже улучшили безопасность и вовсе другими механизмами.

Одним словом, мы все молодцы, мы все прекрасно поработали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #44

43. Сообщение от Анон1110м (?), 13-Мрт-26, 07:39   +/
Ну это смотря какого уровня начальнички.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

44. Сообщение от Аноним (53), 13-Мрт-26, 08:47   +/
V8 на C++
Chrome - тоже
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #45

45. Сообщение от Аноним (53), 13-Мрт-26, 08:49   +/
Blink (движок Chrome) - тоже
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #46

46. Сообщение от Аноним (53), 13-Мрт-26, 08:53   +/
Fuzzer - "сначала баг допущен затем его ищем"
Rust - "не допускаем борроу чекером на этапе компиляции"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #47

47. Сообщение от Аноним (53), 13-Мрт-26, 08:56   +/
raw_ptr добавляет оверхед в производительности (проверка в рантайме)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #48, #51

48. Сообщение от Аноним (53), 13-Мрт-26, 09:00   +/
Также
Rust не является безопасным в абстрактном смысле
Rust является безопасным **по доступу к памяти** (memory-safe)
Python для примера тоже memory-safe, но медленный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #49

49. Сообщение от Аноним (53), 13-Мрт-26, 09:02   +/
Также
В C++ много т.н. "undefined behaviour" для агрессивной оптимизации
В Rust спрятан за unsafe
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

51. Сообщение от Аноним (53), 13-Мрт-26, 09:04   +/
Также
И поэтому не используется в V8
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

52. Сообщение от Жироватт (ok), 13-Мрт-26, 09:06   +/
Сколько денег потрачено по Chips ACT и сколько заводов, по-итогу, открыто?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #53, #57

53. Сообщение от Аноним (53), 13-Мрт-26, 09:50   +/
TSMC (Аризона, Финикс) Fab 1
Intel (Аризона, Окотилло) Fab 52
Около 20 на разных стадиях планирования/строительства
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #54

54. Сообщение от Аноним (53), 13-Мрт-26, 09:54   +/
280 миллиардов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #58

57. Сообщение от Аноним (9), 13-Мрт-26, 13:54   +1 +/
https://en.wikipedia.org/wiki/CHIPS_and_Science_Act
Вы наверное имеете неправильное представление о структуре средств, о том за какой период и в какие сферы они направлены.
Новые заводы Intel и TSMC уже работают, новый завод Samsung скоро запускается, плюс новая фабрика SK hynix в процессе, и они были построены практически полностью за собственный счёт этих компаний.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #64

58. Сообщение от Аноним (9), 13-Мрт-26, 14:10   +/
Что 280 миллиардов ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #61

60. Сообщение от Аноним (60), 13-Мрт-26, 15:00   +/
Наверное в том что за пользование уязвимостями нужно разработчиков садить а не награждать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

61. Сообщение от Аноним (53), 13-Мрт-26, 15:08   +/
Ответ на "Сколько денег потрачено по Chips ACT"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #62

62. Сообщение от Аноним (9), 13-Мрт-26, 15:17   +/
Ну нет, это не совсем корректно будет сказано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

63. Сообщение от Аноним (63), 13-Мрт-26, 17:40   +/
Android:
2025 - $2.9 млн
2024 - $3.3 млн
2023 - $3.4 млн

Chrome:
2025 - $3.7 млн
2024 - $2.1 млн
2023 - $3.5 млн

Сразу видно в какой проекта стали активно внедрять современные языки программирования и выкидывать дидовый крэп, а в каком очень слабенько - ошибок стало меньше, они менее опасны и расходы на них тоже упали.

Цифры прекрасное доказательство правильности такого пути.

Ответить | Правка | Наверх | Cообщить модератору

64. Сообщение от Аноним (64), 13-Мрт-26, 19:26   +/
39$ миллиардов прямых субсидий плюс 25% налоговый вычет с затрат на оборудование плюс 13$ миллиардов на подготовку научных проектов и рабочей силы. Можно говорить "на собственные средства" не вникая в подробности.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #65

65. Сообщение от Аноним (9), 13-Мрт-26, 19:41   +/
>Можно говорить "на собственные средства" не вникая в подробности.

Вникайте, изучайте, вся инфа гуглится в открытых источниках.
Начните со стоимости конкретных фабрик, сколько компаний претендовало на субсидии, и сколько на что ушло.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #66

66. Сообщение от Аноним (64), 13-Мрт-26, 20:07   +/
>и сколько на что ушло.

174$ миллиарда пристегнули к акту о чипах и науке на сомнительно относящиеся к титульному заголовку. )

>стоимости конкретных фабрик

Стоимость в рыночной экономики оценить невозможно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #68

67. Сообщение от Аноним (64), 13-Мрт-26, 20:11   +/
Вы не предполагаете степень хитрости талантливых управленцев.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

68. Сообщение от Аноним (9), 13-Мрт-26, 20:16   +/
А, ну ясно. Спасибо. До свидания!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

69. Сообщение от Джон Титор (ok), 13-Мрт-26, 21:20   +/
Я обычно узнаю о том что вообще проводились какие-то конкурсы по выявлению уязвимостей из новостей о том что конкурс прошёл и деньги выплачены. Интересно, сколько им придётся выплатить если достаточно хорошо проинформируют людей о том что будет такой конкурс?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

70. Сообщение от Аноним (9), 13-Мрт-26, 21:36   +/
Какие конкурсы ? Программа вознаграждений круглогодичная, потом в отчётный период подводят итоги.
- https://bughunters.google.com
- https://security.apple.com/bounty/
- https://www.microsoft.com/en-us/msrc/bounty
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру