漏洞赏金随人才争夺战水涨船高

11月22日，DevOps平台GitLab宣布已将关键漏洞赏金上调75%，承诺为关键问题支付2万到3.5万美元，并调高其他严重漏洞的奖金支付上限(调高50%)。

GitLab与其他多家公司一道，纷纷增加对研究人员发现并报告软件漏洞的奖金。两年来，微软、谷歌和Atlassian全都调高了漏洞报告奖励。GitLab安全副总裁Johnathan Hunt称，随着企业逐渐认识到漏洞奖励可以补充自身内部安全计划、削减风险，并最终降低发现漏洞的成本，漏洞赏金市场日渐火热。

Hunt表示：“这事儿是把双刃剑。好的一面是我们可以改善我们的应用安全;可以安全左移，在漏洞披露之前就发现它们。但也就是说，某种程度上也阻止了研究人员在我们的平台上多花时间。”

因此，该公司增加了漏洞赏金。

漏洞赏金计划的这种趋势凸显出公司必须在招募研究人员和采用漏洞预防工具与流程之间取得艰难平衡。总体上，研究人员对漏洞赏金计划的兴趣有所增长：漏洞赏金计划管理公司HackerOne宣称，2020年提交漏洞的研究人员数量较之上一年增加了63%。不过，成熟产品的安全漏洞通常更难以发现，尤其是可以带来最高额赏金的关键漏洞。

随着工具的不断改进和公司应用安全状态的不断完善，最容易找到的漏洞(所谓“唾手可得的果实”)销声匿迹，只留下了难以发现的那些。众包漏洞公司Bugcrowd创始人兼首席执行官Casey Ellis称，这意味着，随着漏洞赏金计划生态系统的成熟，维持研究人员的漏洞挖掘兴趣需要更大笔的赏金。

他表示：“企业将漏洞奖励定在某个水平，发现有效报告的速度开始减缓的时候，就意味着‘该毕业了’：是时候增加奖励并进入下一阶段了。这么做可以将少量赏金吸引不来的黑客动员起来，而且可以有效激励所有参与者更加投入。”

通过增加赏金，GitLab跟上了很多其他软件公司的脚步。就在一年之前，微软将其顶级Windows漏洞赏金调高到了10万美元，为各类应用和云服务投入了可观的漏洞赏金。微软运营着17个漏洞赏金计划，截至2021年6月的一年间，共有341名研究人员提交了1261份有效漏洞报告，挣得1360万美元。谷歌2020年的漏洞奖励支出几乎翻倍，共向662名研究人员支付了670万美元，单个漏洞最高赏金达13.25万美元。

2021年5月，Atlassian将其最高奖直接翻了一倍，核心云产品漏洞赏金高达1万美元。作为GitLab和Atlassian Bitbucket的竞争者，GitHub为203个上报漏洞支付了超过52.4万美元。GitLab的最高赏金目前比GitHub提到的多5000美元，但GitHub表示自己的策略是开放式，可以为特别严重的漏洞支付更多赏金。

GitLab安全副总裁Hunt称，公司之间的竞争可能会加剧安全研究人员争夺战。

他表示：“通过提高奖励，我们试图提升我们漏洞奖励计划的吸引力、参与度和专注度。我们努力吸引全球各行各业的人才和技术集。老实说，现在想在我们平台上找到漏洞确实是越来越难了。我们得到的反馈中包含了这一信息。”

GitLab等公司仍在完善吸引适格研究人员来分析自身平台的策略。但为关键漏洞支付更多赏金未必就是那条要走的路。

Hunt称：“以GitLab自身为例，我们可以将漏洞赏金提高到10万美元，但每年都只能发现那么几个，所以如果我们只是增加漏洞赏金，那我们可能也就是给两个人支付大笔金钱。大多数人都抓不到P1级(优先级别为1)漏洞，这么做会打消其他人参与到漏洞赏金计划中来的积极性。我们要做的是全方位提高参与度。”

Bugcrowd创始人兼首席执行官Ellis表示，此外，由于新软件不断推出和更新，漏洞永远不会枯竭。如今距离黑客Samy Kamkar在社交媒体服务MySpace中发现跨站脚本(XSS)漏洞已15年之久，但由于此类漏洞难以预防，开发人员又太容易犯这种错，XSS很有可能成为主要问题。

Ellis称，尽管“超级漏洞猎手”可能获得最丰厚的赏金，但持续的漏洞发现者普遍存在，也将继续有料可用。

“既有人专注复杂攻击链和业务逻辑漏洞利用程序，也有人用不走寻常路的方式寻找更简单的问题。真的需要很多人参与进来。”