漏洞赏金随人才争夺战水涨船高
11月22日,DevOps平台GitLab宣布已将关键漏洞赏金上调75%,承诺为关键问题支付2万到3.5万美元,并调高其他严重漏洞的奖金支付上限(调高50%)。 GitLab与其他多家公司一道,纷纷增加对研究人员发现并报告软件漏洞的奖金。两年来,微软、谷歌和Atlassian全都调高了漏洞报告奖励。GitLab安全副总裁Johnathan Hunt称,随着企业逐渐认识到漏洞奖励可以补充自身内部安全计划、削减风险,并最终降低发现漏洞的成本,漏洞赏金市场日渐火热。 Hunt表示:“这事儿是把双刃剑。好的一面是我们可以改善我们的应用安全;可以安全左移,在漏洞披露之前就发现它们。但也就是说,某种程度上也阻止了研究人员在我们的平台上多花时间。” 因此,该公司增加了漏洞赏金。 漏洞赏金计划的这种趋势凸显出公司必须在招募研究人员和采用漏洞预防工具与流程之间取得艰难平衡。总体上,研究人员对漏洞赏金计划的兴趣有所增长:漏洞赏金计划管理公司HackerOne宣称,2020年提交漏洞的研究人员数量较之上一年增加了63%。不过,成熟产品的安全漏洞通常更难以发现,尤其是可以带来最高额赏金的关键漏洞。 随着工具的...
