ITBear旗下自媒体矩阵:

360SyScan国际安全会议分享“漏洞奖励计划”

   时间:2012-12-13 20:20:38 来源:互联网编辑:星辉 发表评论无障碍通道

谷歌自推出漏洞奖励机制以来便受到安全行业瞩目,360也在国内首家推出为漏洞报告者提供现金奖励的机制。12月13日,在360SyScan国际安全会议上,谷歌安全专家Kevin发表题为《Google漏洞奖励计划经验分享》的主题演讲,并在现场详细讲解了漏洞发掘以及奖励机制。

资料显示,“漏洞奖励计划”是谷歌专门为发现Google软件及产品漏洞发现者而设的奖励计划,漏洞发现者将获得谷歌支付的现金奖励以及其他额外鼓励。谷歌此后还推出Chrome浏览器漏洞奖励计划。这些漏洞奖励计划吸引了全球安全爱好者的关注,也帮谷歌公司大幅提升了产品及服务的安全性。

“我们不会支付钱去修复漏洞”,Kevin称谷歌漏洞奖励机制不是去买Bugs,而是奖励用户在寻找漏洞时花费的时间。Kevin表示,谷歌漏洞的范围不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions(if<6 months)的攻击。

那么究竟什么才是谷歌在寻找的漏洞呢?Kevin详细介绍验证“合格漏洞”的四大步骤:合理的通知,私下的信息披露,适当的测试,第一个提出的、最好的解决。通过验证分析漏洞,谷歌将给予用户相应的奖励。

Kevin笑称,并不是所有的漏洞报告都由技术人员发来,普通的网民也会参与到寻找漏洞的娱乐的过程中去。据介绍,有用户冒着信用卡被刷爆的风险去寻找谷歌免费电影的漏洞,而谷歌为找个漏洞支付1337美元,希望该用户能够还清信用卡。

Kevin表示,85.2%的漏洞由新人发现,仅14.8%的漏洞由老用户发现,而且是前20%的人发现了80%的漏洞。但谷歌漏洞奖励机制也面临一些挑战。Kevin表示,谷歌经常会接到一些劣质报告,需要处理枯燥的文字,为分类和管理消耗大量的资源,而且一些人不喜欢为金钱而找Bug,或是有人希望用非Bug来取得奖金,这让谷歌漏洞奖励机制受到部分人的质疑。

谷歌、Facebook等国外互联网公司“漏洞奖励计划”正趋于成熟,在国内,则仅有360公司为漏洞报告者提供现金奖励。此前,360安全漏洞响应平台推出漏洞奖励方案,按照漏洞类型、影响范围等因素设置奖励额度,迄今已发出数万元奖金。该项措施,也使360产品能够更快速响应漏洞威胁,通过汇集业界高手的力量,不断提升产品安全性。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  网站留言  |  RSS订阅  |  违规举报  |  开放转载  |  滚动资讯  |  English Version
关闭
ITBear微信账号

微信扫一扫
加微信拉群
电动汽车群
科技数码群