Log4J 相关漏洞加入美国国土安全局 DHS 漏洞赏金计划

美国网络安全和基础设施安全局 (CISA) 主任 Jen Easterly 和国土安全部部长 Alejandro Mayorkas 宣布扩大其“Hack DHS”漏洞赏金计划，现在与 Log4j 相关的漏洞也包含在此计划中。

Hack DHS 是美国国土安全部 (DHS)在12月14日推出的一项漏洞赏金计划，旨在识别某些 DHS 系统中潜在的网络安全漏洞，并提高该部的网络安全性能。所有经过审查的网络安全研究人士，都可以受邀访问特定的外部 DHS 系统，查找其中的漏洞并向 DHS 汇报，然后根据漏洞的重要性领取 500 ~ 5000 美金的报酬。有意思的是，一旦有黑客完成对 DHS 外部系统的漏洞评估，他就会被邀请去 DHS 参加现场直播的黑客事件，重现他们利用漏洞的过程。

看起来 Hack DHS 是一个相当靠谱的计划：利用民间力量优化政府系统的安全性和稳定性，避免出现政府数据泄露的问题。值得一提的是，此计划是一个长期计划，预计在 2022 年分三个不同阶段进行。它甚至有法可依：根据美国第115 届国会公法 通过的 SECURE 技术法案，“国土安全局有权利为评估 DHS 安全性能问题的人支付报酬”。