2月9日訊 美國總務管理局(U.S. General Services Administration，GSA)跟隨聯邦政府機構的大潮流，招募白帽子黑客尋找漏洞，以此提高系統安全性。

今年早些時候，GSA的技術改革服務部(Technology Transformation Service，TTS)在開源GitHub項目上發布草案征集，期望潛在的資深廠商幫助GSA建立自己的漏洞懸賞計劃。TTS要求有關各方1月30日之前提供反饋意見。

漏洞懸賞的概念非常簡單：雇用或未發現漏洞的白帽子黑客給予獎勵。這是眾包網絡安全概念，只是方式更正式、更可信。

漏洞懸賞計劃 — 要求安全研究人員尋找組織機構網絡或系統內部的漏洞，機構給予相應的獎勵。自美國國防部和美國陸軍取得初步成功后，該計劃在聯邦政府機構中日益興起。

草案征集的執行工作說明(Performance Work Statement，PWS)指出，“作為關注安全的重要組成部分，TTS需要采購預先存在的商業漏洞懸賞Saas(軟件即服務)平臺服務，從而啟動并管理TTS漏洞懸賞計劃”。

GSA — 尤其18F數字服務團隊，相當長時間以來，一直有建立漏洞懸賞計劃的想法。18F團隊早在2016年早些時候就開始研究漏洞懸賞試點，以此為其它機構提供服務，但具體項目似乎仍處于初期規劃階段。

根據這份懸賞計劃，TTS將借助承包商的幫助，邀請研究人員尋找TTS Web應用程序的漏洞。承包商還需對報告的漏洞進行分類，為發現有效漏洞的研究人員支付獎金，并解釋駁回的原因。

GSA在GitHub上提供建議價格：低危漏洞300美元，中危漏洞1000美元，高危漏洞5000美元。合同為固定價格合同，基礎期限為3個月，預計每個月的獎金支出：6個有效低危漏洞、1個有效中危漏洞和1個高效高危漏洞。GSA表示，合同另外還有2個為期3個月的選擇期。另外，感興趣的承包商向GSA提供使用其懸賞平臺的報價。

TTS基本上會指定較大的資深漏洞懸賞廠商，這樣的廠商已經建立了安全研究人員庫，有利于發現更多的漏洞。

草案執行工作說明指出，考慮到漏洞懸賞計劃的特性，提供漏洞懸賞SaaS平臺(Bug Bounty SaaS Platform，能實現TTS的目標，并為政府帶來最大價值)的承包商必須具有良好的信譽。漏洞懸賞SaaS平臺的提供商越知名，在業界擁有的安全研究人才就越多。漏洞懸賞SaaS平臺提供商網絡的安全研究人員群體越大，在TTS Web應用程序上發現漏洞和技術問題的機率就越大。

GSA表示，已經開始審批行業內三大知名承包商。大量漏洞懸賞平臺公司近年不斷發展壯大，例如HackerOne(運作國防部和美國陸軍的項目)、Synack和Bugcrowd，但GSA未表明聯系了哪家公司。

HackerOne是唯一一家在該GitHub項目上公開提交問題的公司。HackerOne的首席技術官Alex Rice 指出，TTS正在展現最佳做法，其它聯邦政府的機構可能輕松如法炮制，從發布漏洞披露政策開始。

Rice表示， “一旦完成了其中一個漏洞披露計劃，漏洞懸賞項目便能以相對簡易的程序進行。TTS本質上是在構建藍圖，供其他人實施這些項目提供向導。”

Rice指出，此外，TTS在GitHub上公開采購，并給予最大程度的靈活性，這是在構建人性化模式，供合作機構獲取、調整并實施計劃，以滿足自身需求。

Rice還表示，“TTS是先驅，通過聯邦承包的方式開辟新天地。18F和國防部的經驗教訓使得這些項目可為每個政府機構所用。因此，我認為聯邦政府其它機構(尤其具有與采購相關總開銷的機構)很快會加以重復利用，并會利用現有的好處。相比更傳統的方法，政府將進一步強化眾包安全的成本節約方式。”

Rice認為，就像18F和TTS開發的其它許多項目一樣，該漏洞懸賞計劃最開始也許只是單從機構利益出發，但其真正的價值是作為其它美國政府機構的PoC。

他表示，真正的好處是，它會帶來可重復的過程，幾乎任何機構都能通過承包的方式實施這樣的計劃。這項提議的深意在于，如果經歷了該過程，沒有必要重復執行這項工作。”

TTS預計將在4月6日左右確定承包商。獲批的承包商將在10天內開始實施計劃。