開源軟體曾被視為技術發燒友的“專享”,現在已經逐漸成為眾多關鍵基礎設施元件的基本組成部分。
《2020年開源安全和風險分析(OSSRA) 報告》顯示:2019年,經過審計的有效程式碼庫中,99%的程式碼庫至少包含一個開源元件,開源在所有程式碼中所佔比例高達70%,這一比例在過去的五年中幾乎翻了一番。有75%的程式碼庫包含至少一個公開漏洞,明顯高於2018年的60%。近半的程式碼庫包含高風險漏洞,佔比在2019年增至49%,高於2018年的40%。
一旦具有大規模使用者基礎的開源軟體漏洞被利用,頃刻間億萬裝置都會受其影響。面對可能會隨時爆發的世界級網路安全浩劫,360安全大腦快速佈局,360BugCloud開源漏洞響應平臺應運而生。
“我洞由我”,360BugCloud開創漏洞自主議價新模式
一個漏洞的價值到底有多少?
2019年伊始,微軟送出了總額高達20萬美元的獎金,獎勵360漏洞研究院冰刃實驗室研究員發現的Hyper-V RCE漏洞。透過該漏洞,攻擊者只需要一臺虛擬機器就可以直接影響大範圍雲主機及宿主機的安全。微軟透過社交媒體發表感謝稱,360安全研究員提交的這個漏洞“守衛了數十億使用者”的資訊保安。
對於企業來說,管理開源的使用非常重要。現代應用中包含大量的開源元件,它們存在安全性、許可和程式碼質量等一系列問題。
360BugCloud開源漏洞響應平臺透過漏洞懸賞,聚焦收錄未被披露的開源以及通用元件高危漏洞,降低漏洞被利用的風險,維護開源軟體和供應鏈安全。在微軟5月、6月安全公告中,宣佈修復了一批Windows平臺的安全漏洞。其中,360BugCloud聯合360漏洞研究院合力貢獻了22枚Windows漏洞並獲得致謝,成為本期微軟安全公告的最大亮點。此外,在谷歌5月、6月、7月修復的安卓平臺安全漏洞中,360BugCloud與360漏洞研究院也一同貢獻了3枚安卓漏洞。在漏洞挖掘上,360BugCloud將繼續不遺餘力的專注基礎軟體的漏洞發現、追蹤和防禦,積極推動廠商及時修復威脅。
上線近一年,360BugCloud平臺收到了來自全球的大量開源高危漏洞,包含0day漏洞和1day漏洞,這些漏洞的提交成功守護了數千萬臺終端,其中包括:IoT/網路裝置等3950萬臺,建站系統類2011萬臺,框架外掛類872萬臺,中介軟體類2300萬臺,客戶端軟體801萬臺等,涉及政府、企、事業等上百餘家單位,覆蓋:能源、金融、交通、醫療、電信、教育、政府眾多關鍵行業領域,避免了全球數億的價值損失。
與其他平臺相比,360BugCloud首創自主議價的漏洞提交收錄模式及第三方專家評審機制,“先談錢,再交洞”的全新業務模式,讓安全研究員全面掌握提交漏洞的主動權,讓他們的付出以及每個漏洞價值得到充分的保障與肯定。
漏洞提交前期,安全研究員僅需提交漏洞影響力描述,無需提供細節,即可進行議價溝通;在議價中,安全研究員可隨時中止,也可請求平臺接入第三方業內知名安全專家參與評估。價值溝通達成一致後,安全研究員提交漏洞細節,平臺進行驗證與收錄。
在近期發起的安全研究員匿名調查中,100%的安全研究員對360BugCloud平臺首創的“先談錢,再交洞”自主議價模式給予了8分及以上的分數(滿分為10分),78.6%的使用者給予了滿分肯定。在漏洞定價上,71.4%的安全研究員給出了8分,其中,35.7%的使用者給予了滿分。此外,在談到是否願意推薦其他“洞友”來360BugCloud提交漏洞時,100%的使用者表示:Yes,I do!
攜手夥伴,360BugCloud共建大安全生態
目前,360BugCloud已聯合頂級安全研究員、各大SRC、國內外開源組織社群、知名安全戰隊及安全廠商等合作伙伴,一同構建漏洞生態,已累計發放漏洞獎勵數千萬元。在6月發起的“RCE漏洞賞金計劃·夏”活動中,360BugCloud設立了300萬元漏洞獎金池,並擴大了漏洞收錄範圍,以鼓勵更多安全研究員的加入,共建大安全生態。
未來,360BugCloud開源漏洞響應平臺將繼續秉承“Trust信任,Tenet原則,Top權威,Together共建”的“04T”宗旨,打造“以信任為基礎、以公正為原則、以技術為驅動、以安全專家為核心”的漏洞響應平臺,嚴守網路安全“命門”,共創21世紀第五維戰略空間新紀元。