谷歌自推出漏洞奖励机制以来便受到安全行业瞩目,360也在国内首家推出为漏洞报告者提供现金奖励的机制。12月13日,在360SyScan国际安全会议上,谷歌安全专家Kevin发表题为《Google漏洞奖励计划经验分享》的主题演讲,并在现场详细讲解了漏洞发掘以及奖励机制。
资料显示,“漏洞奖励计划”是谷歌专门为发现Google软件及产品漏洞发现者而设的奖励计划,漏洞发现者将获得谷歌支付的现金奖励以及其他额外鼓励。谷歌此后还推出Chrome浏览器漏洞奖励计划。这些漏洞奖励计划吸引了全球安全爱好者的关注,也帮谷歌公司大幅提升了产品及服务的安全性。
“我们不会支付钱去修复漏洞”,Kevin称谷歌漏洞奖励机制不是去买Bugs,而是奖励用户在寻找漏洞时花费的时间。Kevin表示,谷歌漏洞的范围不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions(if<6 months)的攻击。
那么究竟什么才是谷歌在寻找的漏洞呢?Kevin详细介绍验证“合格漏洞”的四大步骤:合理的通知,私下的信息披露,适当的测试,第一个提出的、最好的解决。通过验证分析漏洞,谷歌将给予用户相应的奖励。
Kevin笑称,并不是所有的漏洞报告都由技术人员发来,普通的网民也会参与到寻找漏洞的娱乐的过程中去。据介绍,有用户冒着信用卡被刷爆的风险去寻找谷歌免费电影的漏洞,而谷歌为找个漏洞支付1337美元,希望该用户能够还清信用卡。
Kevin表示,85.2%的漏洞由新人发现,仅14.8%的漏洞由老用户发现,而且是前20%的人发现了80%的漏洞。但谷歌漏洞奖励机制也面临一些挑战。Kevin表示,谷歌经常会接到一些劣质报告,需要处理枯燥的文字,为分类和管理消耗大量的资源,而且一些人不喜欢为金钱而找Bug,或是有人希望用非Bug来取得奖金,这让谷歌漏洞奖励机制受到部分人的质疑。
谷歌、Facebook等国外互联网公司“漏洞奖励计划”正趋于成熟,在国内,则仅有360公司为漏洞报告者提供现金奖励。此前,360安全漏洞响应平台推出漏洞奖励方案,按照漏洞类型、影响范围等因素设置奖励额度,迄今已发出数万元奖金。该项措施,也使360产品能够更快速响应漏洞威胁,通过汇集业界高手的力量,不断提升产品安全性。