除了內部尋找漏洞之外,向開發者社群尋求漏洞報告並以賞金作獎勵,已經是近年相當流行的做法。Google 的賞金計劃負責人最近在一個訪談中就表示,比起漏洞本身,他們更在意的其實是漏洞會怎樣被濫用。
Google 安全事件反應團隊負責人 Eduardo Vela 最近在與 The Register 的一個訪談中,提到他們的賞金計劃,他形容,其實他們關心的並不是漏洞,而是相關的濫用問題。因此找到漏洞所在並對之修補,只是整個流程的一小部分。他們今年提升了賞金,目前已經高達 91,337 美元。
他們的開源 Kubernetes Capture-the-Flag 賞金計劃中,研究人員找到漏洞並不會立即獲得賞金,而是需要連接到 Google Kubernetes Engine,對其入侵並利用漏洞盜取隱藏標誌,才算是完成賞金目標。開發者社群因此可以從入侵過程中學習,並使整體系統更安全。
Eduardo Vela 透露,這個計劃是整個群體都需要參與,而 Google 可以做的就是提供資源去協助社群。他承認,不同的開發者有不同的動機,不一定是金錢獎賞,也許是興趣使然,或者追求名聲,因此他們正嘗試找出更有吸引力的獎勵組合。
來源:The Register
—
新增 : unwire.pro Mewe 專頁 : https://mewe.com/p/unwirepro
