漏洞盒子-互联网漏洞基金:国内首个互联网安全漏洞奖励计划

漏洞盒子-互联网漏洞基金:国内首个互联网安全漏洞奖励计划

FreeBuf旗下互联网安全测试平台——漏洞盒子于今日宣布,联合多个厂商共同发起互联网安全漏洞奖励计划作为国内首支互联网安全漏洞基金,漏洞盒子的奖励计划面向全球安全研究者和白帽子,他们可针对企业和互联网常用的操作系统,系统组件,重要框架以及应用提交安全漏洞,基金会审核通过后授予漏洞提交者现金奖励,单个漏洞单次查看的最高奖励高达40万元。

漏洞盒子相信,建立一座连接厂商与白帽子的桥梁,整个互联网环境与生态会更加安全和健康。

什么是互联网安全漏洞

企业及互联网中常用的操作系统,系统组件,重要的框架以及应用中发现的高威胁安全漏洞。

为什么要发起互联网漏洞基金

互联网漏洞往往有着破坏力强、影响范围大的特点,它们大多不被公开甚至隐秘于黑市。一旦当互联网漏洞被公布,往往会在短时间内给企业、网站带来巨大损失。2014年4月爆出的心脏滴血(Heartbleed)漏洞,9月爆出的Bash(Shellshock)漏洞,10月爆出的SSL v3漏洞……越来越多互联网漏洞的爆发,给互联网、金融、教育、政府等诸多服务提供商带来了巨大影响,而互联网用户个人信息与财产安全面临着史无前例的巨大风险。

2013年11月,美国第三方平台HackerOne联合微软、谷歌和Facebook发起互联网漏洞奖励计划。PHP, OpenSSL, Perl, Ruby, Python和Apache网络服务器都在奖励范围之内。FaceBook表示:“那些非常严重的漏洞如果落入到错误的人手中,就可能对整个互联网造成可怕的后果”

2014年7月,Google宣布启动Project Zero的计划,致力于互联网漏洞的研究和发现。 “零日(0day)漏洞”是目前互联网普遍存在的一项威胁。由于此类安全漏洞通常都尚未被公开,因而用户并不能在第一时间获得有效的系统补丁和安全保护。黑客常利用这类漏洞对企业以及政府部门等发起网络攻击。也因为缺乏对有关信息的了解,这样的攻击往往很难被发现。

2014年10月15日,漏洞盒子-互联网漏洞基金在中国走在了最前面。在漏洞盒子第一批安全漏洞奖励计划的列表中,包括了操作系统、应用服务器、系统组件在内的11项互联网流行产品,而一些本土化、国产的组件也会在后续逐步纳入。

互联网安全漏洞奖励规则

由于互联网安全漏洞发现难度大、价值高,因此漏洞盒子也在互联网漏洞基金的奖励设定上展现了十足的诚意,我们对漏洞提交者的奖励非常丰厚:

1、奖励计划中的每项产品漏洞奖励单价不同,目前单个漏洞单次查看的最高奖励高达40万元
2、漏洞奖金可叠加。也就是说多个基金会成员厂商查看某一个漏洞,漏洞提交者可以获得多次奖金叠加

互联网安全漏洞处理流程

漏洞盒子遵循负责任的漏洞披露,漏洞信息及修复方案完全由产品开放商决定是否公开。

Step 1、白帽子提交漏洞  Step 2、漏洞盒子完成漏洞审核  Step 3、漏洞盒子将漏洞信息通知产品官方和基金会成员(厂商)  Step 4、漏洞信息及修复方案由产品官方决定是否公布

关于基金会

漏洞盒子不排斥任何厂商的加入,即使基金会成员(厂商)在公司层面是激烈的竞争对手,但我们认为厂商安全团队之间并非如此。以下为基金会基本条例:

1、基金会成员(厂商)须是产品官方认可的使用者  2、基金会成员(厂商)须经过漏洞盒子的资质审核  3、基金会下设理事会,由厂商代表、漏洞盒子以及独立第三方组成

专题页面

https://vulbox.com/ibb

发表评论