漏洞赏金
本文约需 2 分钟阅读
漏洞赏金 (Bug Bounty) 是指企业公开招募外部安全研究人员发现并报告自身系统的漏洞,并为有效报告支付奖金的项目。 1995 年 Netscape 首次启动了官方项目,如今包括 Google、Microsoft、Apple 在内的数千家公司都已采用。仅 2024 年一年,Google 就支付了约 1,200 万美元的奖金,刷新了历史最高纪录。
现场使用案例
“启动漏洞赏金项目仅 3 个月,我们就收到了外部研究人员关于身份验证绕过漏洞的报告。这是公司内部渗透测试未能发现的模式,我们支付了 50 万日元的奖金,并在 48 小时内发布了修复补丁。”
历史背景
漏洞赏金的概念随着 HackerOne、Bugcrowd 等平台在 2000 年代后期的出现而迅速普及。以往主流的做法是委托专业公司进行渗透测试,而漏洞赏金的优势在于能够汇集全球研究人员的多样化视角。 2016 年美国国防部实施「Hack the Pentagon」项目后,这一做法也扩展到了政府机构。漏洞赏金入门书 (Amazon)可供系统性学习。
企业引入要点
要让漏洞赏金项目取得成功,明确定义范围 (目标系统)、设计奖金表以及建立报告的分级处理 (triage) 机制都至关重要。对于可能被分配 CVE 编号的严重漏洞设定高额奖金,以维持研究人员的积极性。常见的失败包括对报告的响应缓慢、对重复报告的处理不明确以及奖金支付延迟。请使用强随机密码保护漏洞赏金平台的管理账户,防止报告内容泄露。漏洞管理书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?