如何启动自己的漏洞赏金计划

络安全行业存在技能差距已经不是什么秘密了。 阅读任何有关全球安全领域招聘的 告，唯一的区别是短缺的规模。 根据去年的《全球信息安全劳动力研究》（GISWS），到2022年，全球缺口预计将达到180万，比2015年增加20％。

解决这种持续缺乏的 络技能的方法之一是用外部人员补充您现有的安全人员。 包括HackerOne，Bugcrowd和Synackare在内的新公司提供了一系列黑客 区，它们准备测试您的系统并 告其发现，以换取现金奖励。

[InfoWorld的要点： CI / CD入门：使用CI / CD管道自动执行应用程序交付 。 ? CI / CD的5个常见陷阱以及如何避免它们 。 | 通过InfoWorld的App Dev Report新闻通讯了解编程方面的热门话题。 ]

但是，启动此类漏洞赏金计划时，您从哪里开始呢/p>

阶段1：建立漏洞披露程序

第一步只是简单地建立漏洞披露程序（VDP）。 长期以来，在官方渗透测试或漏洞赏金计划范围之外的黑客公司一直是黑客的法律灰色地带，即使他们的意图纯粹是出于学术或利他行为。 包括PwC，FireEye，Cisco和DJI在内的许多公司已对发现漏洞的人采取了法律行动。

缺乏透明度和安全性是Michiel Prins创建HackerOne的原因之一。 “我正在进行渗透测试，发现很多时候您想做一个好事并向公司介绍一个漏洞，但这很难。 没有人知道您如何联系安全团队的联系信息，这也很危险，因为您永远不知道会发生什么：他们是要派律师还是要去执法使您试图做一件好事，您也永远不会知道会发生什么。”

根据HackerOne的《 2018年黑客 告》 ，有25％的受访者表示由于存在问题的公司未建立VDP而无法披露漏洞，因此没有道德的黑客可以在不担心受到 复的情况下联系到他们的途径。 虽然该 告说94％的《福布斯全球2000强》中没有VDP，但接受调查的黑客中有72％表示，在过去的12个月中，公司对接收漏洞信息的态度更加开放。

通过建立VDP，您可以在实施修复程序的过程中为黑客创建 告漏洞的渠道，而不必担心受到 复。 Dropbox发布了一个模板 ，其他公司可以复制该模板 ，以确保在向受影响的公司 告漏洞时，各方都能清楚了解。

在第1阶段中，您将逐渐掌握这一概念，并且通常没有提供任何奖励。

第2阶段：启动小型私人漏洞赏金计划

建立VDP之后的下一步是启动一个小型的私人漏洞赏金计划。 在托管方案中，HackerOne和Bugcrowd之类的公司将选择一小组高度评价的黑客参加。 这样，您将不会因提交而超负荷工作，但可以消除最初的麻烦，并开发出可靠的工作流来处理漏洞。

HackerOne的Prins说：“这是关键时刻，他们开始考虑提供财务奖励措施以吸引更多的黑客，并因为存在金钱奖励而真正让他们深入系统中。” “这是非常自然的进步。”

一旦公司达到第二阶段，设定赏金的正确值就很重要。 Bugcrowd CSO大卫·贝克（David Baker）说：“黑客在开始调查之前，想知道它的价值是多少。” “减少支出金额的差异，研究人员可以适当地分配时间，并帮助客户正确地为其计划进行预算。”

HackerOne建议的最低奖励为100美元，平均约为500美元。 像英特尔和微软这样的公司已经提供了超过20万美元的特别严重漏洞。

使用该模型的此类公司之一就是软件存储库初创公司GitHub，该公司自2014年以来一直运行漏洞赏金计划 。GitHub的漏洞奖励在555美元至20,000美元之间。 2014年，该公司确定并奖励了57项呈件，总计50,100美元； 2015年提交了102份申请书，总额为95,300美元。 2016年，共收到73份有效申请，支付了81,700美元。 在2017年，有121份 告的奖励总额为166,495美元，这些漏洞的范围从轻微的信息泄漏到更严重的授权绕过问题和注入漏洞。

尽管公司可以选择独立运行自己的程序，但是开放计划可以吸引的黑客数量之多，意味着越来越多的人使用中介平台，这些中介平台可以为流程带来规模和标准化，并有助于管理奖励计划。 Bugcrowd的贝克说：“大多数自营项目最终都陷入僵局，失去了研究人员的参与和信心。” 这就是公司希望他解决的机会。

如何大规模应对漏洞披露的挑战

公司在启动漏洞赏金计划时面临的常见挑战是规模。 习惯了静态和不频繁的渗透测试 告的公司可能很快就会被几乎连续不断的 告流所淹没。

Prins说：“我们的大多数客户都希望运行一个完全公开并向所有人开放的漏洞赏金计划。” “但是您不能立即执行此操作，因为那样您就打开了闸门，将会引起太多的兴趣，您将无法处理 告数量和需要修复的漏洞数量。 ”

他说，许多工作实际上是在分析和验证所收到的 告。 检查所声明的漏洞不是先前 告的问题，检查 告的准确性，并评估严重性。

GitHub的应用程序安全团队审查提交的内容，尝试重现问题，并确定每个问题对应用程序或用户造成的风险。 GitHub的应用程序安全经理Greg Ose说：“提交的文件经过验证后，我们会打开一个问题（错误跟踪票），并将其分类给相应的工程团队，以便他们确定优先级并解决潜在的问题。” “然后，我们与开发人员一起确保问题得到正确解决，并且应用程序的其他区域不会出现类似问题。”

Ose说，尽管花了大量的时间来响应和调查提交，但重要的是对提交者做出响应，即使他们的 告确实给用户或数据带来风险，以便他们理解其原因。 该公司具有常见的低风险提交的常见回复，以帮助确保一致的消息传递并快速解决常见问题。 “尽管优点大于缺点，但漏洞赏金计划需要付出巨大的努力才能顺利且成功地运行。”

GitHub在2017年收到了840个提交，但是Ose说该公司已经成功地扩展了该程序，以跟上提交的增长。

如何审查道德黑客并克服沉默

尽管一项调查显示， 将近60％的公司已经或将聘请前黑客来提供安全性帮助，但许多公司可能对邀请人们在其系统中四处摸索持保留态度，尤其是在运作严格的环境中。

那是像Bugcrowd和HackerOne这样的提供者希望解决的另一个机会。 两者都具有声誉分数，可以根据提交的质量和数量对个人进行评分。 具有良好声誉的黑客更有可能被邀请加入私人程序。 HackerOne还提供了一种称为“ HackerOne许可”的内容，如果正在运行特别敏感的程序，黑客将进行额外的审查，例如背景检查和身份验证。

这个故事“如何启动自己的错误赏金计划”最初由IDG Connect发布 。

From: https://www.infoworld.com/article/3277948/how-to-start-your-own-bug-bounty-program.html

相关资源：诗词鉴赏大全软件-教育文档类资源-CSDN文库