Наряду с объявлением о новой функции Lockdown Mode прошлым летом компания упомянула обновленную программу вознаграждений, пожертвование для финансирования исследований в области этической безопасности и многое другое. Теперь Apple Security Research официально запущена со специальным веб-сайтом, блогом, подробной информацией об изменениях вознаграждения, приложениями, открытыми для программ исследования устройств, и многим другим.
Сегодня Apple запустила новый веб-сайт центра безопасности во главе с двумя сообщениями в блоге.
«Наши передовые технологии безопасности защищают пользователей более 1,8 миллиарда активных устройств по всему миру. Узнайте о последних достижениях Apple в области безопасности от наших инженеров, отправьте нам свои собственные исследования и работайте напрямую с нами, чтобы получить признание и вознаграждение за помощь в обеспечении безопасности наших пользователей».
Изменения Apple Security Bounty
Во-первых, Apple подробно рассказала, как была обновлена ее программа вознаграждений за безопасность:
«За последние два с половиной года с момента открытия нашей программы мы невероятно гордимся тем, что наградили исследователей почти 20 миллионами долларов в виде общих выплат, при этом средняя выплата в размере 40 000 долларов США в категории «Продукт» включает 20 отдельных вознаграждений на сумму более 100 000 долларов США за высокие — вопросы воздействия. Насколько нам известно, это делает Apple Security Bounty самой быстрорастущей программой вознаграждений в истории отрасли.
За это время наша команда тесно сотрудничала с исследователями по всему миру, и мы узнали о некоторых вещах, которые мы можем сделать лучше.
Во-первых, мы реагируем гораздо быстрее. Время от времени мы получали гораздо больше материалов, чем ожидали, поэтому мы увеличили нашу команду и усердно работали, чтобы иметь возможность завершить первоначальную оценку почти каждого отчета, который мы получаем, в течение двух недель, а большей части — в течение шести дней.
Далее мы упрощаем для исследователей возможность сообщать о проблемах и общаться с нашими командами. На нашем веб-сайте Apple Security Research появился новый способ отправлять нам результаты исследований в Интернете и получать обновления статуса в режиме реального времени. Просто войдите в систему, используя свой Apple ID, и следуйте инструкциям, чтобы отправить нам подробный отчет. Затем вы сможете отслеживать ход вашего отчета и безопасно общаться с инженерами Apple, пока мы проводим расследование».
…
«Мы также обеспечиваем большую прозрачность. Наш сайт теперь содержит подробную информацию и критерии оценки Apple Security Bounty. Категории вознаграждений включают диапазоны и примеры, поэтому вы можете определить, на чем вы хотели бы сосредоточить свое исследование, и таким образом вы можете предвидеть, соответствует ли ваш отчет определенному вознаграждению. Мы предоставили диапазоны материалов, которые влияют на услуги и инфраструктуру Apple, а также на наши продукты».
Открытие приложений Security Research Device
Еще одно объявление, размещенное на новом веб-сайте, заключается в том, что открыто окно для приложений Apple Security Research Device:
«С сегодняшнего дня и до 30 ноября 2022 года мы также принимаем заявки на участие в программе Apple Security Research Device Program 2023 года. Эта программа включает iPhone, предназначенный исключительно для исследований в области безопасности, и может помочь вам начать работу, углубиться или повысить эффективность вашей исследовательской работы с iOS».
Блог безопасности
Начиная первую публикацию в своем новом блоге по технической безопасности, Apple рассказала о «следующем поколении безопасности памяти XNU: kalloc_type».
«Открывая наш блог, посвященный исследованиям в области безопасности, мы представляем первую из серии технических статей, посвященных важным обновлениям безопасности памяти в XNU, ядре, лежащем в основе iPhone, iPad и Mac. Поскольку почти все популярные пользовательские устройства сегодня полагаются на код, написанный на таких языках программирования, как C и C++, которые считаются «небезопасными для памяти», что означает, что они не обеспечивают надежных гарантий, предотвращающих определенные классы программных ошибок, повышение безопасности памяти является важным цель для инженерных команд по всей отрасли».
Прочитайте полный пост на новом сайте безопасности Apple.
Открытые вакансии в сфере безопасности в Apple
Кроме того, у Apple есть ссылка для отправки вашего резюме и интереса к ролям безопасности в компании.
Более
В нижней части нового веб-сайта безопасности Apple есть несколько дополнительных ресурсов для разработчиков, ссылка на руководство по безопасности платформы Apple и службу поддержки Apple.
