Материалы по тегу: google

22.10.2021 [21:50], Андрей Галадей

Google заплатит до $250 тыс. за эксплойты для Android 12 Enterprise

Google запустила программу вознаграждений за найденные уязвимости в Android 12 Enterprise. Компания обещает, что корпоративная версия Android поможет лучше защитить бизнес-пользователей, и готова и далее вкладываться в безопасность платформы — в рамках обновлённой программы по поиску багов компания выплатит до $250 тыс. за найденные эксплойты для устройств Pixel под управлением Android Enterprise.

Как сообщается, в новой Enterprise-версии мобильной ОС расширены возможности для ИТ-администраторов, которые теперь получили доступ к дополнительным средствам управления конфиденциальностью. Это позволяет им следить за тем, какие приложения используются на смартфонах, как они работают и куда передают данные. С одобрения администратора пользователи сами смогут принимать или отклонять запросы рабочих приложений на доступ к датчиками и сенсорами. Например, они могут запретить отслеживание местоположения.

Другие функции безопасности в Android 12 включают возможность для администраторов настраивать подключение Wi-Fi, решать, какие инструменты ввода данных (Input Method Editor, IME) можно использовать на устройствах, управлять сложностью паролей для защиты рабочих данных, получать по сети журналы работы корпоративного профиля и т.д. При этом у сотрудников сохраняется возможность использовать и личный профиль для нерабочих нужд.

Постоянный URL: http://servernews.ru/1051985
19.10.2021 [17:16], Андрей Галадей

Google разрабатывает проект SiliFuzz для массового выявления скрытых дефектов CPU

Google прилагает много усилий, чтобы заранее обнаруживать дефекты программного обеспечения в ключевых проектах с открытым исходным кодом. Но теперь, как сообщается, там разрабатывают систему SiliFuzz, которая будет выявлять дефекты в центральных процессорах.

Принцип работы SiliFuzz заключается в анализе работы процессора путём запуска заранее подготовленных тестовых данных, собранных с помощью эмуляторов и дизассемблеров. Это одна из разновидностей фаззинга — процессор нагружают «случайными» вычислениями, результат которых проверяется на выходе. Если расхождения есть, процессор считается дефектным.

Система рассчитана на выявление в первую очередь электрических дефектов чипов, которые могли возникнуть при производстве, установке, во время работы и т.д. Особое внимание уделяется именно им, а не логическим ошибкам в самих CPU. При этом сами тесты не используют какие-либо низкоуровневые механизмы отладки, что позволяет задействовать их на «боевых» системах.

Собственно говоря, задача разработчиков — создать систему, которая могла бы регулярно тестировать каждое ядро в каждом сервере Google, минимально влияя на его производительность. В текущем виде SiliFuzz выбирает момент, когда нагрузка на конкретную машину не так велика, и последовательно тестирует группы из четырёх потоков (2 ядра с SMT) в течение не более чем двух минут. Пока разработчики ориентируются на процессоры x86-64, которые массово используются самой Google.

Основная цель проекта — автоматизация выявления скрытых дефектов, которые приводят к неверным вычислениям и которые гораздо опаснее обычных сбоев и падений, поскольку единственное небольшие отклонения в работе чипа приводит к накоплению массива ошибок. Так, например, выяснилось, что некоторые CPU иногда возвращали неверные результаты вызова F2XM1 (x2-1), а другие — периодически давали отличающиеся от правильных расчёты FCOS. В последнем случае разница составляет менее 0,0000003%, но и этого может быть достаточно для проблем.

Как отмечается, около 45% дефектов, найденных с помощью SiliFuzz, не отслеживаются иными инструментами. В будущем разработчики планируют масштабировать SiliFuzz, повысить скорость работы программы, а также в целом повысить качество работы.

Постоянный URL: http://servernews.ru/1051625
04.10.2021 [23:00], Андрей Галадей

Google профинансирует пилотную программу SOS от Linux Foundation

В Linux Foundation запустили новую программу Secure Open Source (SOS). А компания Google уже сообщила о том, что станет одним из спонсоров проекта. Поисковый гигант начнёт с инвестиций в размере $1 млн, но в будущем обещает расширить масштабы финансирования. В рамках программы планируется поддержка различных улучшений, которые упреждающе защищают критически важные проекты с открытым исходным кодом, а также их инфраструктуру. Это позволит обезопасить приложения и цепочку поставок ПО.

venturebeat.com

venturebeat.com

Как отмечается, в перечне есть разные проекты с открытым исходным кодом, потому в Google нет единого определения того, что делает тот или иной проект критически важным. В процессе рассмотрения той или иной заявки будет проанализирована вся информация, от частоты использования пакетов до возможных последствий в случае компрометации ПО.

Для участия в программе нужно подать заявку и расписать там все особенности предлагаемого на рассмотрение проекта, после чего специалисты Google проанализируют её. За улучшения положены вознаграждения. В случае серьёзных патчей безопасности можно получить $10 тыс. и более.

Постоянный URL: http://servernews.ru/1050536
20.09.2021 [14:45], Андрей Галадей

Google профинансирует проверку безопасности ряда Open Source-проектов

Фонд OSTIF (Open Source Technology Improvement Fund) объявил о начале сотрудничества с Google для того, чтобы провести аудит безопасности критически важного программного обеспечения с открытым исходным кодом. Поисковый гигант профинансирует эту работу.

В фонде отмечают, что целенаправленная и хорошо продуманная проверка, выполненная опытной командой, может привести к значительным и долгосрочным улучшениям в ряде открытых проектов. В качестве примера приводится уже проведённая работа по улучшению Unbound DNS, где специалисты закрыли почти полсотни уязвимостей.

В рамках сотрудничества с Google планируется улучшить работу 8 проектов, выбранных из общего списка. Первоначально речь шла о 25 проектах. В перечне есть Git, JavaScript-библиотеки Lodash, PHP-фреймворк Laravel, Java-фреймворк Slf4j, JSON-библиотеки Jackson (Jackson-core и Jackson-databind) и Java-компоненты Apache Httpcomponents (Httpcomponents-core и Httpcomponents-client).

Отметим, что финансовая поддержка Google позволит OSTIF запустить программу управляемого аудита (MAP) для этих проектов и улучшит их безопасность. Ведь многие из упомянутых проектов используются в критически важных инфраструктурах — от систем контроля версий до веб-разработки, протоколов связи и так далее.

Постоянный URL: http://servernews.ru/1049407
21.08.2021 [16:14], Владимир Агапов

Google инвестирует $1 млрд в расширение ЦОД в Нью-Олбани

2020 год был рекордным для дата-центров, и в этом году рынок имеет все шансы обновить рекорд. Мы уже писали о крупных инфраструктурных проектах Alibaba, Facebook и Microsoft. Теперь же стало известно о череде крупных инвестиций в ЦОД со стороны Google.

Важными условиями при выборе места для строительства ЦОД является наличие свободных площадей, а также доступности каналов связи и электроэнергии. Нью-Олбани, небольшой город в округе Флойд (штат Огайо), обладает всеми этими достоинствами благодаря тому, что ещё в 2008 году там начал свою деятельность один из крупнейших в США производителей электроэнергии — American Electric Power (AEP). Вслед за этим в округе стали появляться и первые дата-центры.

Власти региона утвердили бизнес-план по развитию Нью-Олбани, в рамках которого для компаний выделяется земля на территории международного бизнес-парка площадью 1600 га, предусматривается строительство инфраструктуры (дороги, водоснабжение и канализация) и на длительный срок предоставляются налоговые льготы. Проект уже дал первые плоды. Например, Facebook вложила в строительство ЦОД $750 млн, а Amazon включила округ в проект по возведению трёх ЦОД общей стоимостью $1,1 млрд.

По словам директора по общественному развитию Дженнифер Крайслер (Jennifer Chrysler), город не стремится стать «магнитом» именно для дата-центров, а ориентируется на различные IT-компании, которые связаны с работой ЦОД. К ним относятся колл-центры и корпоративные офисы. Привлечение различных предприятий в рамках отраслевого кластера создает экосистему взаимодополняющих компаний. Сами ЦОД после постройки практически не дают новые рабочие места, поскольку на их обслуживание обычно требуется около 150 человек: электриков, сантехников и т.д.

dispatch.com

dispatch.com

Однако строительные работы, которые ведутся на протяжении десятилетий, обеспечивают занятость местных строительных и инженерных компаний. А доступность значительных вычислительных мощностей ЦОД делают округ привлекательным для различных интернет-компаний, которые открывают новые офисы и привлекают инвестиции. Всего на текущий момент известно о порядка десяти крупных проектов строительства дата-центров в Нью-Олбани, и среди них проект Google — один из самых крупных.

Google начала переговоры о создании ЦОД ещё в 2018 году через фирму-«прослойку» Montauk Innovations LLC. И провела их весьма успешно, так как получила 100% освобождение от налога с продаж на 15 лет, причём с возможностью продления льгот до 2058 года. В конце 2019 года компания приступила к реализации первой фазы стоимостью $600 млн на площади 1,78 га. Теперь же Google объявила о намерении вложить в строительство новых объектов на площади 2,5 га ещё $1 млрд.

Постоянный URL: http://servernews.ru/1047254
16.08.2021 [15:59], Сергей Карасёв

Facebook и Google проложат в Тихом океане интернет-кабель длиной 12 тыс. км и ёмкостью 190 Тбит/с

Google и Facebook реализуют крупномасштабный проект под кодовым названием Apricot по обеспечению высокоскоростным интернет-доступом ряда стран Азиатско-Тихоокеанского региона. Речь идёт о прокладке подводной магистрали протяжённостью приблизительно 12 тыс. км.

В рамках проекта будут проложены две волоконно-оптические линии — Echo и Bifrost. Они свяжут Азиатско-Тихоокеанский регион с Северной Америкой. В настоящее время проект ждёт одобрения со стороны регулирующих органов. Предполагается, что после ввода новых линий в эксплуатацию начальная пропускная способность превысит 190 Тбит/с. Магистраль свяжет Японию, Тайвань, Гуам, Филиппины, Индонезию и Сингапур.

Завершить работы в рамках инициативы Apricot планируется в 2024 году. Проект поможет Google и Facebook улучшить доступность своих многочисленных сервисов для пользователей в регионе. Отмечается, что каналы Echo и Bifrost смогут поддерживать растущие объёмы трафика для сотен миллионов пользователей и миллионов бизнес-структур.

Постоянный URL: http://servernews.ru/1046796
04.08.2021 [11:20], Андрей Галадей

Google призывает компании выделить больше инженеров для разработки ядра Linux

Несмотря на то, что Linux используется повсеместно, у проекта всё же есть некоторые проблемы. Как сообщается в блоге Google, речь идёт о нехватке персонала для работы с ядром системы, что прямо влияет на безопасность. Давний разработчик ядра Кис Кук (Kees Cook) из Google Security Team сообщил в блоге, что проблема является весьма обширной.

Для ядра каждую неделю поступает около 100 новых исправлений, но не все они успевают пройти тестирование. Поэтому поставщики не всегда используют последние исправления или в некоторых случаях просто пытаются выбрать «важные» (как им кажется) патчи, игнорируя другие. Разумеется, можно и нужно использовать стабильные версии ядер или версии с длительной поддержкой (LTS), которые включают все исправления, но этого зачастую не происходит.

Динамика исправления ошибок в ядре

Динамика исправления ошибок в ядре

При этом конечные пользователи не всегда знают, какие компоненты добавили поставщики, насколько они стабильны и защищены. Эксперт отметил, что около 40% ошибок и уязвимостей исправлялись очень быстро, а другие могли «жить» в ядре годами. Поэтому он призывает нанимать больше инженеров, чтобы они проверяли код ядра, исправляли ошибки до релиза, проводили тестирование и так далее.

Кроме того, по словам Кука, не хватает инженеров в области средств разработки, которые сейчас во многом отделены от ядра. Отмечается, что нужно как минимум ещё 100 специалистов для работы с основной веткой ядра. А поскольку подавляющее большинство инженеров, занятых ею, является сотрудниками сторонних компаний, Кук призывает эти компании нанимать больше специалистов.

Постоянный URL: http://servernews.ru/1045914
29.07.2021 [14:13], Сергей Карасёв

Выручка облачной платформы Google выросла в полтора раза

Компания Google, входящая в состав холдинга Alphabet, сообщила о дальнейшем росте выручки от предоставления облачных сервисов. Речь идёт об инфраструктуре Google Cloud, которая включает платформу GCP (Google Cloud Platform) и набор сервисов Workspace для организации совместной работы.

Во втором квартале текущего финансового года выручка Google Cloud составила $4,63 млрд. Это примерно в полтора раза (на 54 %) больше прошлогоднего результата, когда компания получила $3,01 млрд. Вместе с тем Google удалось сократить операционные убытки облачного подразделения. В период с апреля по июнь включительно они составила $591 млн. Для сравнения: годом ранее финансовые потери равнялись $1,42 млрд.

Фото: Reuters

Фото: Reuters

Американский IT-гигант отмечает, что в обозримом будущем продолжит фокусировать усилия на увеличении выручки облачной платформы. В частности, компания намерена инвестировать средства в наращивание вычислительных мощностей и расширение перечня услуг. Отметим, что в целом холдинг Alphabet получил во втором квартале $61,9 млрд выручки. Это на 62 % больше по сравнению с результатом годичной давности.

Постоянный URL: http://servernews.ru/1045483
28.07.2021 [19:24], Владимир Мироненко

Google запустила новую платформу для охотников за багами

В честь десятой годовщины с момента запуска программы Vulnerability Reward Program (VRP), в рамках которой исследователям выплачивается вознаграждение за найденные уязвимости в своих продуктах, Google запустила новую платформу bughunters.google.com. Программа VRP позволила обнаружить в общей сложности 11 055 уязвимостей, 2022 исследователя из 84 стран получили вознаграждения на сумму почти $30 млн.

Новый сайт собирает все VRP (Google, Android, Abuse, Chrome, Play) и предоставляет единую форму коммуникации, которая упрощает исследователям отправку сообщений о проблемах. Портал получил ряд улучшений:

  • Больше возможностей для взаимодействия и конкуренции за счет геймификации, таблиц лидеров по странам, наград/значков за определённые ошибки и т. д. Списки лидеров будут составляться для каждой страны.
  • Более функциональная и эстетичная рейтинговая таблица для помощи тем, кто использует свои достижения в VRP для того, чтобы найти работу.
  • Сильный акцент на обучении: исследователи смогут улучшить свои навыки с помощью контента, доступного Bug Hunter University.
  • Оптимизирован процесс публикации отчётов о багах.
Getty Images

Getty Images

«Мы знаем, какую ценность приносит обмен знаниями нашему сообществу. Вот почему мы хотим упростить вам публикацию отчетов об ошибках», — написал в блоге Ян Келлер (Jan Keller) технический менеджер программы VRP компании Google. В блоге также отмечено, что отправка исправлений для программного обеспечения с открытым исходным кодом тоже будет вознаграждаться. Кроме того, предусмотрены вознаграждения за исследовательские работы по безопасности открытого исходного кода и разработку программного обеспечения с открытым исходным кодом.

Постоянный URL: http://servernews.ru/1045419
03.07.2021 [14:59], Андрей Галадей

Вышло обновление Scorecards 2 — инструмента для аудита безопасности приложений open source

Разработчики представили вторую версию проекта Scorecards — автоматизированного инструмента безопасности, который выдает «оценку риска» для проектов с открытым исходным кодом. В нём добавлены новые методики проверки безопасности, расширен список проектов, а данные стали легко доступны для анализа.

Как отмечается, новая версия позволит сократить затраты и время на тестирование open source проектов, что позволит быстро оценить их безопасность, а также безопасность зависимостей. К примеру, проверка Branch-Protection позволяет убедиться, что проект требует обязательной проверки кода другим разработчиком перед выходом в релиз. В настоящее время эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub. Для сторонних репозиториев можно использовать менее информативный Code-Review.

nordicapis.com

nordicapis.com

Также добавлена проверка, которая позволяет отслеживать потенциально уязвимый код в системе контроля версий. Помимо этого, новая система проверяет зависимости тех или иных пакетов, чтобы гарантировать безопасность. Для этого используются хtши, поскольку при изменениях в зависимостях, меняются и значения хэшей. В целом, Scorecards версии 2 поддерживает анализ более чем 50 тысяч проектов с открытым исходным кодом, что позволяет оценивать их по разным критериям.

Постоянный URL: http://servernews.ru/1043436
Система Orphus