據外媒報道,日前,專門致力于幫助客戶尋找漏洞的平臺Bugcrowd公布了一個安全漏洞懸賞模板。據悉,這份模板除了依據其在過去3年內的200個漏洞懸賞項目之外它還借鑒了來自谷歌Chrome、惠普TippingPoint’s ZDI、微軟Mitigation Bypass Bounty等安全懸賞項目。
模本將企業分為三類:基礎類、進階類、高級類。其中,基礎類指的是借助開發產品天性而解決掉安全問題的團隊;進階類則是一支定義明確且從ID部門那里獲得了一些自主權的團隊;高級類則是由首席信息安全官直接向公司CEO并在公司基礎設施中擁有屬于自己突出位置的團隊。
安全漏洞根據它的影響分成五類:P1-嚴重、P2-高風險、P3-中級風險、P4-低風險、P5-可接受風險。
Bug crowd在模板中建議,基礎級的漏洞懸賞獎金應定在100美元-1500美元之間;進階類在200美元-5000美元之間;高級類在300美元-15,000美元之間。
這種通過懸賞找到公司系統漏洞的做法現在已經變得愈發普遍,而Bugcrowd模板的提供一方面給了這些公司一個非常好的參考標準,一方面則可以讓安全研究員能夠得到合理的報酬。
京公網安備 11010502049343號