美國國防部(DoD)和HackerOne公司最近共同發(fā)布了一項漏洞賞金計劃,主要是獎勵那些成功入侵美國陸軍網(wǎng)站,發(fā)現(xiàn)漏洞的黑客們。黑客們可以盡情進行安全測試而不用擔心遭到迫害了。
這個漏洞獎勵計劃名叫Hack the Army,實際上最早是在11月11日就公布的。而從今天開始,黑客們就可以登陸網(wǎng)站注冊參加第一期的漏洞項目。
原定第一期的參與人數(shù)為500人,但國防部稱可能會根據(jù)情況增加更多參與者席位。
HackerOne沒有公布獎金數(shù)量,但是公司提到成功攻破美軍系統(tǒng)的黑客,能夠賺到幾千至幾萬美元的現(xiàn)金(to earn thousands of dollars in cash)。
提高美軍系統(tǒng)安全性
不過,HackerOne公司并沒有提及期望收到的漏洞類型,但毫無疑問最重要的漏洞應該是那些能讓黑客控制系統(tǒng)的遠程執(zhí)行漏洞。
國防部漏洞披露政策(DoD Vulnerability Disclosure Policy)提到,本次的漏洞獎勵計劃涉及所有面向公眾的網(wǎng)站——那些國防部所有,并由國防部運營和控制的網(wǎng)站,另外黑客不應泄露任何發(fā)現(xiàn)的相關(guān)信息。
Hack the Army項目頁面上稱:
“這是一次讓美軍探索安全新方式,也是目前最成功最安全的軟件公司采用的實踐方案。通過這個項目,美國陸軍可以保證其系統(tǒng)和士兵盡可能安全。”
項目的第一階段從美國東部時間2016年11月30日(周三)中午開始,12月21日17點結(jié)束。
安全研究領(lǐng)域更大范圍的合作
安全專家認為,這項獎勵計劃可能會促成整個安全研究領(lǐng)域更大范圍內(nèi)的合作。除了安全研究人員和白帽子、各種黑客之外,美國政府的文職人員和現(xiàn)役軍人也是可以參與獎勵計劃的。而Hack the Army計劃也將引入到上文提到的漏洞披露政策中。
Rapid 7高級安全研究經(jīng)理Tod Beardsley則說:“這項政策對于開放的安全研究發(fā)展會有很大幫助,我對此持樂觀態(tài)度。”“這項政策真正認識到了安全專家在漏洞發(fā)現(xiàn)和披露方面的價值,而不是因為其好奇心就判定他們有罪。”
“這項政策的普及,對于安全研究行為的合法化而言是很重要的一步。各種不同規(guī)模的企業(yè)組織,也能夠認識到‘看到什么就說什么’這樣的理念,對于互聯(lián)網(wǎng)安全是有積極意義的。”
京公網(wǎng)安備 11010502049343號