美国国土安全部对众测白帽子的要求

51CTO社区编辑加盟指南，欢迎关注！

美国国土安全部(DHS)邀请安全研究人员寻找漏洞并侵入其系统，以期加强自身面对恶意攻击的防御能力。

美国国土安全部启动“黑掉国土安全部”(Hack DHS)漏洞赏金计划，意图“发现国土安全部某些系统中的潜在网络安全漏洞，提升部门的网络安全弹性。”

美国国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)在彭博技术峰会上宣布了该计划，称“黑掉国土安全部”将分为三个阶段：

• 黑客对国土安全部某些外部系统进行线上虚拟评估。
• 黑客亲身参与现场攻击活动。
• 国土安全部识别和审查暴露出来的问题，规划未来的漏洞赏金。

美国国土安全部部长马约卡斯表示，将根据漏洞的严重程度，为所发现的每个漏洞支付500~5000美元的赏金。想要获得奖励，安全研究人员必须向国土安全部披露漏洞的全部细节，包括漏洞利用方式，以及恶意黑客会怎么利用此漏洞来窃取信息。

当然，漏洞赏金也不是什么近些年才出现的新鲜事物。许多私营部门公司开展漏洞赏金计划推动负责任的漏洞披露，近年来，美国陆军和国防部等机构为预先批准的安全研究人员参与漏洞搜寻提供了经济奖励。

“黑掉国土安全部”漏洞赏金计划不打算重新发明轮子，而是似乎想要吸取此类漏洞众测计划的经验，确保制定强有力的指导方针，防止随之而来的混乱。

因此，预期“黑掉国土安全部”会跟随“黑掉五角大楼”(Hack the Pentagon)漏洞赏金计划的脚步，参考以下规则：

• 白帽子黑客必须预先注册，并获得批准，才能参与此项计划。
• 参与者必须具有在美国工作的资格。如果你居住在目前正遭受美国贸易制裁的国家或地区，那你就不具备参与该计划的资格。所以，该计划不欢迎叙利亚黑客和朝鲜黑客!
• 参与者不能出现在美国财政部的涉恐、涉毒、涉其他犯罪的邪恶个人与团伙黑名单上。
• 每个参与者都必须同意接受背景调查。

此外，美国国土安全部将就纳入众测的系统范围和接受报告的漏洞类型设置严格的条件。

视野放宽，最高5000美元的漏洞赏金并不算特别慷慨，尤其是考虑到企业为其他漏洞搜寻计划支付的赏金时。但可以想见，如果能够帮助美国国土安全部消除其系统中潜藏的高危安全漏洞，一些安全研究人员应该会珍视由此获得的荣誉和成就感。