Google は、Chromebook からクラウドまで「ほぼすべて」に Linux を使用していると述べています。

現在、GoogleはオープンソースOSの脆弱性を発見したセキュリティ研究者への報奨金を増額しています。 2020年から、GoogleはKubernetesをベースとしたオープンソースのキャプチャ・ザ・フラッグ（CTF）プロジェクト「kCTF」を運営しています。このプロジェクトでは、研究者がGoogle Kubernetes Engine（GKE）インスタンスに接続し、クラッキングを試みることでキャプチャフラグを取得できます。これまでのところ、すべての「フラグ」はLinuxカーネルの脆弱性を悪用したコンテナ侵害です。

Google は現在、過去 1 年間に発生した脆弱性やエクスプロイトのほとんどを悪用することがより困難になると考えられる一連の緩和策を開発しました。

Googleは、これらの緩和策を克服できるハッカーに最大13万3337ドルの報奨金を提供すると述べている。

同社は現在、最新のLinuxカーネルを侵害する新たな脆弱性を発見したハッカーに対し21,000ドルの追加報奨金を、カスタムインスタンスにおける実験的な脆弱性に対する緩和策を「明らかに」回避したハッカーに対しさらに21,000ドルを追加で提供しています。これにより、報奨金の総額は最大133,337ドルとなります。

kCTF プログラムは、新しい脆弱性ではなく、カーネル内の新しい脆弱性を見つけることに重点を置いています。

Google は、Android、Chromebook、Google Cloud ワークロードで使用される Linux カーネルの安全対策の開発に熱心に取り組んでいます。

Googleは2月にこの報奨金枠を暫定的に導入した後、現在ではカーネルの新たな脆弱性に対し、2万ドルから9万1,337ドルを無期限で提供しています。Googleのエドゥアルド・ベラ氏は、「この新たな報奨枠は、安定版カーネルの現状把握だけでなく、最新かつ実験的なセキュリティ対策の価値を評価するためにコミュニティの協力を求めるために活用されます」と述べています。

kCTF VRPプログラムを通じて、セキュリティコミュニティの協力を得て、Linuxカーネルを可能な限り安全にするためのセキュリティ緩和策を分析、テスト、測定、構築するためのパイプラインを構築しています。将来的には、Linuxカーネルの脆弱性を悪用することを可能な限り困難にするセキュリティ緩和策を開発できるようになることを期待しています。