360SyScan国际安全会议分享漏洞奖励计划
谷歌自推出漏洞奖励机制以来便受到安全行业瞩目,360也在国内首家推出为漏洞报告者提供现金奖励的机制。12月13日,在360SyScan国际安全会议上,谷歌安全专家Kevin发表题为《Google漏洞奖励计划经验分享》的主题演讲,并在现场详细讲解了漏洞发掘以及奖励机制。
资料显示,“漏洞奖励计划”是谷歌专门为发现Google软件及产品漏洞发现者而设的奖励计划,漏洞发现者将获得谷歌支付的现金奖励以及其他额外鼓励。谷歌此后还推出Chrome浏览器漏洞奖励计划。这些漏洞奖励计划吸引了全球安全爱好者的关注,也帮谷歌公司大幅提升了产品及服务的安全性。
“我们不会支付钱去修复漏洞”,Kevin称谷歌漏洞奖励机制不是去买Bugs,而是奖励用户在寻找漏洞时花费的时间。Kevin表示,谷歌漏洞的范围不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions(if<6 months)的攻击。
那么究竟什么才是谷歌在寻找的漏洞呢?Kevin详细介绍验证“合格漏洞”的四大步骤:合理的通知,私下的信息披露,适当的测试,第一个提出的、最好的解决。通过验证分析漏洞,谷歌将给予用户相应的奖励。
Kevin笑称,并不是所有的漏洞报告都由技术人员发来,普通的网民也会参与到寻找漏洞的娱乐的过程中去。据介绍,有用户冒着信用卡被刷爆的风险去寻找谷歌免费电影的漏洞,而谷歌为找个漏洞支付1337美元,希望该用户能够还清信用卡。
Kevin表示,85.2%的漏洞由新人发现,仅14.8%的漏洞由老用户发现,而且是前20%的人发现了80%的漏洞。但谷歌漏洞奖励机制也面临一些挑战。Kevin表示,谷歌经常会接到一些劣质报告,需要处理枯燥的文字,为分类和管理消耗大量的资源,而且一些人不喜欢为金钱而找Bug,或是有人希望用非Bug来取得奖金,这让谷歌漏洞奖励机制受到部分人的质疑。
谷歌、Facebook等国外互联网公司“漏洞奖励计划”正趋于成熟,在国内,则仅有360公司为漏洞报告者提供现金奖励。此前,360安全漏洞响应平台推出漏洞奖励方案,按照漏洞类型、影响范围等因素设置奖励额度,迄今已发出数万元奖金。该项措施,也使360产品能够更快速响应漏洞威胁,通过汇集业界高手的力量,不断提升产品安全性。
- 欧盟松口光伏板块开始触底反弹竹地板铂金首饰U型接头输送机构铸钢球阀Frc
- 针头式过滤器的应用及产品结构丁基橡胶淋水装置振动机械纪念章桥梁管材Frc
- 葡萄酒反倾销申请已递交至商务部电动剪洮南设备搬迁湿度矫直机Frc
- 广东江门新建危险化学品生产项目必须进入化重型筛古典家具造纸机械电话系统美甲Frc
- 渣浆泵的结构解析钻头传感系统涂装线碳钢法兰弹弓Frc
- 1月10日上海石化LDPE价格稳定抛光设备乌兰察布定转子网球鞋空心砖机Frc
- 红外热像仪在电力设备故障检测中的应用咸宁家纺代理电热板管夹淘气堡Frc
- 板材冲压通过模具制造优化整个流程链亮度弹簧螺丝商业印刷浴室柜金属软管Frc
- 2014上海宝马展南车北京时代五大产品翻边机方向盘机械门锁拉刀运动护头Frc
- 2011年中国聚氯乙烯树脂产量达1295纤维板小型机礼帽铁环混合机Frc