漏洞赏金计划
漏洞赏金计划 是什么?
漏洞赏金计划组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。
漏洞赏金计划将众包安全测试转化为受控流程。组织发布范围、参与规则、排除项与奖励等级,并通过自有平台或 HackerOne、Bugcrowd、Intigriti 等三方运营平台接收独立研究员的报告。提交的漏洞经验证、复现、优先级评估与修复,赏金通常依据严重程度(常用 CVSS)确定。计划可分为公开式或受邀的私有式,并作为内部应用安全团队、SAST/DAST 工具和渗透测试的补充,但不能替代。还需明确的安全港(safe harbour)法律条款,保障善意研究员不会因反黑客法律受到追究。
● 示例
- 01
Google 漏洞奖励计划、Microsoft Bug Bounty、Apple Security Bounty。
- 02
某 SaaS 厂商在 HackerOne 运行受邀私有计划,赏金 500 至 50,000 美元。
● 常见问题
漏洞赏金计划 是什么?
组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。 它属于网络安全的 攻击与威胁 分类。
漏洞赏金计划 是什么意思?
组织正式邀请外部研究人员报告安全漏洞并根据影响支付奖励的计划。
漏洞赏金计划 是如何工作的?
漏洞赏金计划将众包安全测试转化为受控流程。组织发布范围、参与规则、排除项与奖励等级,并通过自有平台或 HackerOne、Bugcrowd、Intigriti 等三方运营平台接收独立研究员的报告。提交的漏洞经验证、复现、优先级评估与修复,赏金通常依据严重程度(常用 CVSS)确定。计划可分为公开式或受邀的私有式,并作为内部应用安全团队、SAST/DAST 工具和渗透测试的补充,但不能替代。还需明确的安全港(safe harbour)法律条款,保障善意研究员不会因反黑客法律受到追究。
如何防御 漏洞赏金计划?
针对 漏洞赏金计划 的防御通常结合技术控制与运营实践,详见上方完整定义。
漏洞赏金计划 还有哪些其他名称?
常见的别称包括: VRP, 漏洞奖励计划。
● 相关术语
- attacks№ 221
协调式漏洞披露 (CVD)
漏洞发现者、受影响厂商以及有时的协调方共同就时间表达成一致后再公开披露安全漏洞的流程。
- roles№ 132
漏洞赏金猎人
独立的安全研究人员,通过漏洞赏金或协调披露计划向厂商报告漏洞,以换取金钱奖励与公开致谢。
- defense-ops№ 813
渗透测试
对系统、应用或人员进行的经授权的模拟网络攻击,在真实攻击者之前发现可被利用的弱点。
- vulnerabilities№ 1216
漏洞
系统、应用或流程中可被攻击者利用以破坏机密性、完整性或可用性的弱点。
- vulnerabilities№ 261
CVSS(通用漏洞评分系统)
由 FIRST 维护的开放框架,根据漏洞的利用特征和影响,为其打出 0–10 的严重性评分。
- defense-ops№ 1217
漏洞评估
对环境进行系统化审查,以识别、分类和优先排序安全弱点,通常不进行实际的漏洞利用。