微软与Facebook最近公布了一套全新漏洞赏金计划,旨在通过奖励机制促进安全研究人员查找并报告那些可能影响广大互联网用户的常用软件安全缺陷。
该计划将由专门项小组负责管理,小组研究人员来自Facebook、谷歌、微软以及其它几家多年来一直帮助管理或参与其它安全赏金计划的企业。
“我们积累的经验促使自己不同改善安全漏洞的披露机制,从而让每一位用户享受到更理想的互联网环境,”这些研究人员在接受hackerone.com采访时表示——这是一家专门管理新漏洞赏金计划并负责联系安全研究人员与响应团队共同解决漏洞报告的网站。
新方案的奖励范围包括Python、Ruby、PHP以及Perl解释器;Django、Ruby on Rails以及Phabricator开发工具与框架;Apache与Nginx Web服务器外加谷歌Chrome、IE 10、Adobe Reader与Flash Player的应用程序沙箱机制。
如果所发现的安全问题涉及一家或多家市场主流供应商软件方案——根据项目管理方的说明,其中包括互联网协议中的安全漏洞,相关人员也能够获得奖励。下面我们一起回顾过去曾经出现过的此类实例,包括2008年针对MD5散列功能以生成伪造CA证书的冲突攻击、针对SSL的BEAST攻击以及由Dan Kaminsky于2008年报告的DNS缓存投毒漏洞等。
赏金的具体数额取决于所报告问题的严重程度以及所影响的软件对象。举例来说,发现Phabricator中的安全漏洞可以得到最低300美元、最高3000美元的奖励;而发现应用程序沙箱或者互联网协议中的安全漏洞则至少能得到5000美元奖励——根据评测小组的判断,这一数字还可以酌情增加。如果为某些软件项目提供修复补丁,漏洞报告的赏金还会加倍。
这套新方案不仅针对安全研究人员,任何符合该项目信息披露理念与指导方针的安全问题发现者都能获得奖励,其中包括学术研究人员、软件工程师、系统管理员甚至是业余技术爱好者。
目前赏金由微软及Facebook负责赞助,但HackerOne也鼓励响应小组在财政允许的情况下自行解决暴露出来的安全隐患。
上个月,谷歌公布了类似的项目,即为那些能够为使用范围广泛的开源应用程序及软件库提高安全性的补丁买单,其中包括OpenSSL、OpenSSH、BIND、libjpeg、libpng等等。这就解释了谷歌为什么没有参与到HackerOne项目中来——不过谷歌Chrome安全团队的Chris Evans参与到HackerOne小组中来。
微软此次加入方案赞助阵营可能意味着该公司在多年的反对之后,终于放下姿态开始接受这种针对个别安全漏洞提供奖励的机制。
微软曾于今年六月针对自家产品推出过两项赏金计划,但二者的共同目标在于研究如何推进有价值的新型防御技术或者探索绕过现有防御机制的方法,而非针对个别安全漏洞。本周一,微软公司对其中一项赏金计划进行扩展,开始向针对主动攻击活动提交技术报告的安全专家发放奖金。
微软今年六月还推出了另一项更为传统的漏洞赏金计划,旨在鼓励研究人员探索IE 11预览版本中的安全漏洞——但该计划仅持续了三十天。
