版主3星评价
2020-05-05 13:59:47
漏洞赏金程序被用于技术领域,包括区块链领域,以提高应用程序和web资产的安全性。简单的解释了它们是什么以及它们的重要性。
亲近你的朋友,但更要亲近你的敌人。
按照这种思路,科技公司和网络安全专业人士正通过漏洞奖励计划与黑客合作。简单地说,漏洞奖金是一个组织提供给独立的、有道德的黑客(称为赏金猎人)的奖励,用于报告系统中的漏洞。
根据网络安全和漏洞赏金公司HackerOne的2017年度黑客动力安全报告,顶级公司每年奖励黑客90万美元,自2015年以来,针对关键问题的赏金平均增加了16%”。通用汽车(General Motors)、星巴克(Starbucks)、任天堂(Nintendo)、甚至美国国防部(US Department of Defense)等知名企业都依赖黑客的专业技能来改进它们的技术。
例如,金融服务公司罗宾汉(Robinhood)拥有一个漏洞赏金项目,根据这个项目,猎人的报告最高可获得5万美元(最低赏金为100美元)。尽管该公司已经实施了这个项目一段时间了,但该团队今天更新了这个项目: 过去,我们并不是每时每刻都清楚我们要找什么样的报告,或者我们该如何奖励那些提交报告的研究人员——所以我们启动了一个针对特定类型漏洞(或‘漏洞’)的奖励范围的新项目。”我们想让罗宾汉(Robinhood)成为研究人员的诱人目标,作为一名研究人员,重要的是,你知道你的时间不会浪费在寻找我们软件中的潜在漏洞上。
这种观点同样适用于区块链项目。基于区块链的平台与传统的应用程序和web资产一样容易受到安全漏洞的影响。在开发可行产品的竞争中,有时安全问题会被忽略或无意中引入系统。
例如,EOS网络背后的团队最近奖励了荷兰黑客Guido Vranken 12万美元,作为奖励计划的一部分。EOS的工作人员为了对Vranken的工作进一步表示赞赏,他们竟然给了他一个在公司的职位。
HackerOne的首席执行官Marten Mickos认为漏洞奖励的重要性。据eSecurity Planet的报道,Mickos说:我们的目标是必须建立一个能够保护消费者隐私的互联网。”如果没有有道德的黑客积极维护我们的集体安全,这是不可能实现的。”
从更广泛的角度来看,漏洞赏金程序所代表的激励与围绕区块链技术的许多自由主义精神是一致的。如果每个人的努力和努力都得到了回报,那么,根据这种心态,理论上我们将拥有最好的产品和技术。在加密空间中,漏洞奖励是有意义的——尽管媒体可能不同意。
顽石3星评价
2020-05-05 14:01:14
漏洞赏金项目(Bug Bounty Programs)是以一种负责任的方式,向软件或系统供应商、开发商或使用商上报安全漏洞。对漏洞涉及主体来说,这是一种积极的安全防护方式,对白帽黑客来说,也能实现赚钱目的,而且还有机会被列入漏洞名人榜。对安全两方来说,这无疑是一种双赢方法。
像Facebook、Google或Microsoft等大公司都设立了自己的漏洞赏金项目,而且,很多知名企业厂商也在流行的第三方众测平台中开设赏金项目接收漏洞。这些流行众测平台包括HackerOne、Bugcrowd等,这种按照提交漏洞等级,给予相应赏金的漏洞上报模式,可以有效避免某些漏洞被转售利用或扩散,对漏洞涉及公司厂商造成直接安全威胁,所以本质上来说,这是对某些安全产品或系统的一种积极特定的安全防护方式。