微軟、谷歌和Atlassian全都調高了漏洞報告獎勵 ​​​​

GitLab與其他多家公司一道，紛紛增加對研究人員發現並報告軟體漏洞的獎金。兩年來，微軟、谷歌和Atlassian全都調高了漏洞報告獎勵。

DevOps平臺GitLab宣佈已將關鍵漏洞賞金上調75%，承諾為關鍵問題支付2萬到3.5萬美元，並調高其他嚴重漏洞的獎金支付上限(調高50%)。

GitLab與其他多家公司一道，紛紛增加對研究人員發現並報告軟體漏洞的獎金。兩年來，微軟、谷歌和Atlassian全都調高了漏洞報告獎勵。GitLab安全副總裁Johnathan Hunt稱，隨著企業逐漸認識到漏洞獎勵可以補充自身內部安全計劃、削減風險，並最終降低發現漏洞的成本，漏洞賞金市場日漸火熱。

Hunt表示：“這事兒是把雙刃劍。好的一面是我們可以改善我們的應用安全;可以安全左移，在漏洞披露之前就發現它們。但也就是說，某種程度上也阻止了研究人員在我們的平臺上多花時間。”

因此，該公司增加了漏洞賞金。

漏洞賞金計劃的這種趨勢凸顯出公司必須在招募研究人員和採用漏洞預防工具與流程之間取得艱難平衡。總體上，研究人員對漏洞賞金計劃的興趣有所增長：漏洞賞金計劃管理公司HackerOne宣稱，2020年提交漏洞的研究人員數量較之上一年增加了63%。不過，成熟產品的安全漏洞通常更難以發現，尤其是可以帶來最高額賞金的關鍵漏洞。

隨著工具的不斷改進和公司應用安全狀態的不斷完善，最容易找到的漏洞(所謂“唾手可得的果實”)銷聲匿跡，只留下了難以發現的那些。眾包漏洞公司Bugcrowd創始人兼執行長Casey Ellis稱，這意味著，隨著漏洞賞金計劃生態系統的成熟，維持研究人員的漏洞挖掘興趣需要更大筆的賞金。

他表示：“企業將漏洞獎勵定在某個水平，發現有效報告的速度開始減緩的時候，就意味著‘該畢業了’：是時候增加獎勵並進入下一階段了。這麼做可以將少量賞金吸引不來的黑客動員起來，而且可以有效激勵所有參與者更加投入。”

通過增加賞金，GitLab跟上了很多其他軟體公司的腳步。就在一年之前，微軟將其頂級Windows漏洞賞金調高到了10萬美元，為各類應用和雲服務投入了可觀的漏洞賞金。微軟運營著17個漏洞賞金計劃，截至2021年6月的一年間，共有341名研究人員提交了1261份有效漏洞報告，掙得1360萬美元。谷歌2020年的漏洞獎勵支出幾乎翻倍，共向662名研究人員支付了670萬美元，單個漏洞最高賞金達13.25萬美元。

2021年5月，Atlassian將其最高獎直接翻了一倍，核心雲產品漏洞賞金高達1萬美元。作為GitLab和Atlassian Bitbucket的競爭者，GitHub為203個上報漏洞支付了超過52.4萬美元。GitLab的最高賞金目前比GitHub提到的多5000美元，但GitHub表示自己的策略是開放式，可以為特別嚴重的漏洞支付更多賞金。

GitLab安全副總裁Hunt稱，公司之間的競爭可能會加劇安全研究人員爭奪戰。

他表示：“通過提高獎勵，我們試圖提升我們漏洞獎勵計劃的吸引力、參與度和專注度。我們努力吸引全球各行各業的人才和技術集。老實說，現在想在我們平臺上找到漏洞確實是越來越難了。我們得到的反饋中包含了這一資訊。”

GitLab等公司仍在完善吸引適格研究人員來分析自身平臺的策略。但為關鍵漏洞支付更多賞金未必就是那條要走的路。

Hunt稱：“以GitLab自身為例，我們可以將漏洞賞金提高到10萬美元，但每年都只能發現那麼幾個，所以如果我們只是增加漏洞賞金，那我們可能也就是給兩個人支付大筆金錢。大多數人都抓不到P1級(優先順序別為1)漏洞，這麼做會打消其他人蔘與到漏洞賞金計劃中來的積極性。我們要做的是全方位提高參與度。”

Bugcrowd創始人兼執行長Ellis表示，此外，由於新軟體不斷推出和更新，漏洞永遠不會枯竭。如今距離黑客Samy Kamkar在社交媒體服務MySpace中發現跨站 (XSS)漏洞已15年之久，但由於此類漏洞難以預防，開發人員又太容易犯這種錯，XSS很有可能成為主要問題。

Ellis稱，儘管“超級漏洞獵手”可能獲得最豐厚的賞金，但持續的漏洞發現者普遍存在，也將繼續有料可用。

“既有人專注複雜攻擊鏈和業務邏輯漏洞利用程式，也有人用不走尋常路的方式尋找更簡單的問題。真的需要很多人蔘與進來。”

site.qudong.com/2017/0220/394075.shtml