Entry № 151
漏洞赏金计划
漏洞赏金计划 是什么?
漏洞赏金计划组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。
漏洞赏金计划将众包安全测试转化为受控流程。组织发布范围、参与规则、排除项与奖励等级,并通过自有平台或 HackerOne、Bugcrowd、Intigriti 等三方运营平台接收独立研究员的报告。提交的漏洞经验证、复现、优先级评估与修复,赏金通常依据严重程度(常用 CVSS)确定。计划可分为公开式或受邀的私有式,并作为内部应用安全团队、SAST/DAST 工具和渗透测试的补充,但不能替代。还需明确的安全港(safe harbour)法律条款,保障善意研究员不会因反黑客法律受到追究。
● 示例
- 01
Google 漏洞奖励计划、Microsoft Bug Bounty、Apple Security Bounty。
- 02
某 SaaS 厂商在 HackerOne 运行受邀私有计划,赏金 500 至 50,000 美元。
● 常见问题
漏洞赏金计划 是什么?
组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。 它属于网络安全的 攻击与威胁 分类。
漏洞赏金计划 是什么意思?
组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。
如何防御 漏洞赏金计划?
针对 漏洞赏金计划 的防御通常结合技术控制与运营实践,详见上方完整定义。
漏洞赏金计划 还有哪些其他名称?
常见的别称包括: VRP, 漏洞奖励计划。