什么是赏金计划？

2025 年 2 月 26 日 | 阅读 9 分钟

引言

缺陷在非技术上被称为bug，这意味着软件的运行不如预期。当开发人员在产品或代码开发中犯错时，就会出现bug。赏金猎人会寻找想要的漏洞和bug。企业可以通过提供赏金来加入黑客社区，世界各地的黑客都会寻找bug。赏金计划实现的持续测试确保了任何新功能或软件都会立即被组织测试。只有有效的bug报告才会被组织报销。Bugbase是托管和管理赏金计划的一个平台。它还筛除了所有无效的bug报告，协助修复所有合法且经过验证的漏洞。

什么是赏金计划？

赏金计划允许安全专家或道德黑客向企业报告漏洞。这些专家将因识别系统中的漏洞而获得报酬。相关的bug可能包括硬件缺陷、安全漏洞和漏洞。赏金计划是查找运行系统和成品中缺陷的一种最佳且成本最低的方法之一。赏金计划邀请道德黑客通知组织系统安全漏洞，以换取对准确提交的奖励。

赏金计划示例

以下是一些赏金计划。

HackerOne
Apple
Antihack
Google
微软
Integrityon
YesWeHack
HackenProof
Bugcrowd
Synack

赏金计划生命周期

此处介绍了托管在平台上的赏金计划的运作方式。

填写简短的注册表单，提交后，您将收到一封用于验证的电子邮件。
成功验证后，登录并启动赏金计划。提供必要的信息，以便组织能够精确地创建有利参与者的理想计划策略。
提交bug后，赏金计划将启动，允许黑客组织对其进行评估。
组织的安保团队会审核和筛选报告，参与者将因识别漏洞而获得奖励。

赏金如何运作？

这些组织运行这些计划，并奖励识别软件漏洞的参与者。这是这些计划如何运作的详细解释。

计划发布：组织发布关于赏金计划的信息，包括计划参与者必须遵循的指南和程序。
研究人员参与：为了识别软件缺陷，道德黑客积极参与这些倡议。
查找bug：安全专家和黑客使用持续的软件测试来识别系统中的bug。
bug报告：发现软件bug后，参与者提交一份详细报告，其中包括有关问题影响和可能解决方案的详细信息。
报告验证：收到报告后，组织的团队会确认参与者报告的bug，以确定bug的严重性。
准确bug报告者的奖励：根据bug的严重程度，如果黑客的报告得到验证，组织将给予报酬。
修复bug：报告中bug的安排。
致谢：在组织的荣誉榜（或其网站）上的一项条目将作为参与者的致谢。

如何设置自己的赏金计划？

确定赏金计划的目的以及必须发现的漏洞类型。
描述有关软件缺陷报告的指南和要求。
根据不同的漏洞类型，定义奖励结构的全部细节。
组建一个团队来确认已报告的漏洞。
让参与者了解他们提交的报告的进度。
确保文件反映了所有适用的法律豁免。
为了触及广泛的受众，请在多个网站上发布有关赏金计划的信息。
在荣誉榜上列出贡献者的研究人员姓名，并为他们对软件质量改进的贡献给予认可。

不同类型的赏金计划

公开计划：任何愿意参与的人都随时欢迎参加公开计划。为了识别软件漏洞，大量人员参与这些计划。
私人计划：邀请有限数量的研究人员参加这些计划。组织优先处理敏感系统。
管理计划：由外部平台管理的计划称为管理计划。

用于漏洞管理的赏金计划

由于它们增强了内部代码审计和渗透测试，赏金计划通常是组织漏洞管理策略的一部分。公司及其开发团队在结合这些策略时，可以实现以下目标：

在整个软件开发生命周期中，测试应用程序的安全性。
查找可能危及最终产品质量、稳定性、可用性或用户体验的漏洞和bug。
通过实施必要的修复来减少此类问题。

参与赏金计划的黑客通常不是公司的员工，而是用他们的专业知识和努力来补充内部安全团队。通过这样做，他们产生有价值的结果来增强软件安全性和质量，并协助扩展软件测试程序和漏洞管理策略。

过去的赏金计划示例

软件赏金计划已经存在很长时间，并为赏金猎人支付了丰厚的报酬。Netscape于1995年为其Netscape Navigator 2.0 Beta浏览器启动了第一个此类计划。此后，许多其他公司也纷纷效仿。

根据漏洞影响、安全评级、bug报告质量和可利用性等因素。例如，Mozilla为每个漏洞提供3000至20000美元的奖励。

Google

此外，Google还提供了一个名为VRP的赏金计划，该计划自2010年以来一直运行。该计划涵盖了YouTube、Google Cloud Platform、Google.com和Chrome浏览器等各种Google产品。报告bug可获得高达100美元（例如，权限提升）至31337美元（RCE）的奖励。

微软

微软于2013年推出了其赏金计划。在接下来的十年里，该公司向来自70个国家的数千名安全研究人员支付了超过6000万美元。截至2024年，微软将为不同的产品运行各种计划，并提供不同的报酬。例如，Microsoft Azure计划提供高达60000美元的赏金，而发现Microsoft .NET bug的最高赏金为20000美元。

当然，该公司偶尔也会支付超过这些金额。例如，2013年，美国KK。他的Windows 8.1利用新方法的研究员James Forshaw从微软获得了100000美元的赏金，使他成为第一个获得如此大笔奖励的个人。

Apple

另一个拥有赏金计划的行业巨头是Apple。与许多其他公司一样，Apple的计划也按漏洞类型进行分类。因此，一个零点击内核代码执行漏洞最多可以为猎人带来100万美元，而一个锁屏绕过bug则可以为他们带来5000至100000美元的奖励。

公司为何使用赏金计划？

公司可以利用赏金计划来吸引大量黑客社区，帮助他们发现代码中的bug。

他们现在可以接触到比一对一工作更多的测试人员或黑客。此外，这还可以提高在恶意黑客利用它们之前发现并报告bug的可能性。

对于公司来说，这在公关方面也是一个明智的决定。随着赏金计划的日益普及，它可以向公众甚至监管机构发出信号，表明一个组织拥有完善的安全计划。

这种趋势可能会继续下去，因为一些人现在认为赏金计划是每个公司都应该参与的行业标准。

赏金计划适合每个组织吗？

不。在赏金计划有效之前，组织需要达到其安全计划的某个成熟度水平。

公司解决其网络上发现的漏洞的能力是需要问的最重要的问题。总的来说，如果他们不能在合理的时间内做到这一点，赏金计划就不是一个好主意。

如果组织在实施基本补丁管理方面遇到困难，或者存在许多已发现但尚未解决的其他问题，那么赏金计划产生的额外报告量并不是一个好主意。

当没有发现的安全漏洞积压时，当团队积极寻找新报告时，并且当有补救措施来解决已发现的漏洞时，赏金计划是一个好主意。

赏金计划的优势

公司从赏金计划中受益，因为它们可以经济高效，但维护一个用于测试的安全团队成本更高。
它涉及识别和解决安全缺陷，降低安全漏洞的可能性，并鼓励安全社区内的合作。
提高组织内部系统的整体安全性。
继续研究系统。
由于赏金计划为道德黑客提供了机会，因此组织和安全社区可以更好地协作。
通过组织这些计划，可以接触到成千上万熟练的道德黑客和研究人员。
激励人们寻找bug。
黑客使用按Bug付费（PPB）定价模式来提供服务。
有助于详细了解网络的漏洞和安全性。

赏金计划的局限性

质量控制：并非所有bug报告都是高质量的输出。其中一些可能很浅显或完全无关，审查非问题浪费时间。
安全威胁：如果处理不当，将公司的安全性暴露给外部研究人员可能会泄露秘密并成为漏洞。
误报：许多bug报告最终被证明是误报，即报告的漏洞并非真实的安全风险。此安排使各自的安全团队不堪重负。
可伸缩性问题：较小的安全团队可能会被大量报告压垮，导致效率低下。
结果差异：一名研究人员可能会发现重要的漏洞，而另一名研究人员只会发现影响较小的bug；因此，结果必然也会有所不同。
声誉损失：如果发现的安全漏洞没有被及时认识和修复，公司的公众形象会受到影响。
成本：向研究人员支付发现费用可能很昂贵，如果他们继续发现漏洞，随着时间的推移，这些费用会累积。
法律问题：在没有明确法律指导的情况下参与赏金计划可能会引起法律纠纷，尤其是在研究人员无意中违法的情况下。

赏金计划的替代方案

1. 渗透测试（Penetration Testing）

聘请外部安全顾问，通常通过明确定义的参与和范围，有目的性地测试系统漏洞。

2. 漏洞披露计划或验证-处置协议

一种将外部研究人员纳入漏洞报告流程的方式（但与赏金计划中的经济激励不同）。

3. 安全审计

请第三方安全公司或内部审计您的代码、系统和架构，查找潜在漏洞。

4. 管理众包安全测试

它类似于赏金计划，但有针对性，并与经过预先审查的道德黑客合作（最常见的是通过平台或服务）。

5. 自动扫描器

使用Nessus、OpenVAS或Qualys等资源对系统和应用程序进行已知漏洞的自动检测。

6. 红队演练

通过组织内部或外部的专家模拟攻击来测试系统安全防御的实践。

7. 代码审查

对代码进行同行或外部审查，强调安全性并确保遵循最佳实践以防止漏洞。

结论

赏金计划等项目使参与者或研究人员以及提供这些项目的组织都受益。通过消除系统中的所有漏洞，组织可以提高系统安全性。通过参与这些赏金计划，研究人员和参与者可以获得奖励和知识。由于组织无法持续测试系统，这些计划可以节省时间。

下一主题什么是clampi病毒

什么是赏金计划？

引言