Link alla notizia: https://www.hwupgrade.it/news/cpu/amd-fino-a-30000-dollari-di-ricompensa-se-trovate-vulnerabilita-nei-suoi-prodotti_127614.html

AMD è pronta a pagare fino a 30.000 dollari se si rintracciano vulnerabilità altamente critiche nell'hardware. Il nuovo programma di bug bounty è aperto a un ampio pubblico di ricercatori di sicurezza e copre anche firmware e software.

Click sul link per visualizzare la notizia.

beh bug nel software partecipo anche io :sofico:

dipende cosa intendono per bug

francamente mi sembrano premi parecchio risicati alla luce del dispendio di energie che presumibilmente è richiesto specie per i vizi di natura hardware..

francamente mi sembrano premi parecchio risicati alla luce del dispendio di energie che presumibilmente è richiesto specie per i vizi di natura hardware..

Fare queste "lotterie" per le aziende è una pratica comune xkè esternalizzano a basso costo quello che dovrebbero fare internamente stipendiando parecchia gente. Alla fine gli costa meno fare così rispetto ad impiegare un team dedicato.

Preso per buono il fatto che l'esecuzione speculativa nelle CPU moderne porterà a nuove falle, non è tanto sapere se ci saranno ma quando verranno scoperte (e quando poi rese pubbliche) ed in ultimo la gravità.

Avranno fatto due conti. Evidentemente la criticità delle falle, la quantità ed il loro sforzo per scoprirle, da loro calcolati, sono tali da non giustificare il dispendio di risorse per istituire un team di ricerca interno dedicato, preferendo la "lotteria". Gli costa meno. Molto meno.

Non saranno milioni ma almeno ti pagano

Solo le aziende morte di fame fanno stà roba.
Preferiscono usare questi mezzucci, sperando che il genio di turno gli risolva i problemi, per un tozzo di bane ed un bicchiere di vino, piuttosto che mettere in piedi un dipartimento e relativa gente, che faccia questo lavoro a tempo pieno.

Fare queste "lotterie" per le aziende è una pratica comune xkè esternalizzano a basso costo quello che dovrebbero fare internamente stipendiando parecchia gente. Alla fine gli costa meno fare così rispetto ad impiegare un team dedicato.

Preso per buono il fatto che l'esecuzione speculativa nelle CPU moderne porterà a nuove falle, non è tanto sapere se ci saranno ma quando verranno scoperte (e quando poi rese pubbliche) ed in ultimo la gravità.

Avranno fatto due conti. Evidentemente la criticità delle falle, la quantità ed il loro sforzo per scoprirle, da loro calcolati, sono tali da non giustificare il dispendio di risorse per istituire un team di ricerca interno dedicato, preferendo la "lotteria". Gli costa meno. Molto meno.

una cosa non esclude l'altra. non è che loro smettono di ricercare i bug.

Fare queste "lotterie" per le aziende è una pratica comune xkè esternalizzano a basso costo...
questo è chiaro ma il punto è il cash:
x quella cifra non merita neppure mettersi lì a spremere le meningi sottraendo energie a "competizioni" più remunerative (che esistono e sono 1 ballino)...

es (al volo, potrei essere impreciso):

Intel Bug Bounty Program (https://www.intel.com/content/www/us/en/security/security-practices/vulnerability-management/bug-bounty-program.html) (Awards range from $500 up to $100,000...)

Microsoft (https://www.microsoft.com/en-us/msrc/bounty) (up to $250,000 Hyper-V/ Up to $100,000 USD plus up to an additional $100,000 Mitigation Bypass and Bounty for Defense etc)

Tesla: fino a 100000 (https://bugcrowd.com/tesla) (e una loro macchina in regalo per i vincitori delle varie competizioni, dunque non una Panda o 500 della FIAT)


In sintesi:
ho una laurea/capacità e di solito un lavoro ben pagato, chi me lo fa fare di concentrarmi su un qualcosa che è arduo in partenza per quanto sia bravo se il gioco non vale la candela? (30000 sono infatti quasi un'inezia per queste figure il cui tempo vale decisamente di più)


Questi sono dei pezzenti dai..

Solo un pirla puo' trovare una vulnerabilita' e comunicarla per 30k.
ci puoi fare molto di piu' "vendendola" sul mercato nero.

Solo un pirla puo' trovare una vulnerabilita' e comunicarla per 30k..

ma poi di queste portate come il firmware o, addirittura, la logica della CPU.

Già preparare un "laboratorio" con (almeno) 2/3 macchine diverse "mosse" dal solito fornitore di CPU, dai su...