您好,欢迎来到『达网』官方网站
达网
全国服务热线  
联系在线客服
达网国际站 | 达网学院 | 付款方式 | 促销专区

举报漏洞有奖项目让谷歌,Mozilla物有所值


ZDNET安全频道 07月12日 综合消息: 据加州伯克利大学研究者透露,向查找软件漏洞的独立安全研究人员给予奖励,好过请专人来做同样的事情。

他们的研究针对的是谷歌和Mozilla专门为网页浏览器推出的漏洞奖励项目。

在过去三年里,谷歌已经支付了58万美元的奖励,Mozilla已经支付了57万美元的奖励。在这些项目中,数以百计的漏洞得到修补。

这些项目其实为两家公司节约了成本。在北美地区,公司如果聘请一名程序员,需要支付10万美元的月薪,所以运行这些项目的成本比雇请一个浏览器安全团队的成本要少。

此外,更多的人盯着代码,意味着这些项目可以暴露更多的软件漏洞,这比请专人查漏洞要高效。

该研究为奖励项目提供了一笔可观的基金,虽然并不是所有的供应商都接受这些项目。Adobe Systems和Oracle就没有付费获取漏洞信息。

微软也没有这个传统,但是微软上个月部署了一个一次性的项目。在7月26号,微软将为IE 11浏览器的漏洞支付1.1万美元。

漏洞奖励还有其他优势,如可以减少被贩卖给恶意攻击者的漏洞数量,这些恶意攻击者可能利用这些漏洞信息做违法犯罪的事情。这样的项目还让黑客们更难找到漏洞,研究者们写道。

但是谷歌和Mozilla项目的不同点在于项目对其效力的影响。

Mozilla为每个漏洞支付的奖励就是3000美元。谷歌则是采取递增的方式奖励,从500到10000不等。谷歌会对根据查找难度和影响,对漏洞进行评估。

谷歌奖励的平均值为1000美元,但是得到高额奖励的机会吸引了很多人参与到这个项目中来。

谷歌的项目所付出的的成本和Mozilla的差不多,但挖到的漏洞却是后者的三倍。而且吸引着人们反复参与,也吸引了一些新人。

该调查称:“这可以很好地刺激人们:潜在的奖励越大,就有更多人能接受得到比期望值小的奖励,对于项目本身而言,就可以收获更多参与者。”

而且,浏览器渗透比赛,如谷歌举办的Pwnium,奖励金额高达15万美金,非常吸引人。

该调查称:“我们认为这种奖励机制可以让Chrome的举报漏洞有奖项目摆出更鲜明的姿态,这样也可以鼓励更多人参与进来,特别是对那些获得广泛认可的研究者而言,更是如此。”

“我们推荐Mozilla更改奖励机制,向Chrome的分层奖励系统学习。”调查称。

这项调查由Matthew Finifter, Devdatta Akhawe和David Wagner撰写。

漏洞谷歌


Copyright 2006-2012 dw.net.cn 达网网络技术有限公司 版权所有
公司地址:宁波市大梁街118号世纪广场B座19楼1902室 [地图] 邮编:315000
中文域名:达网.cn 公司微博:weibo.com/dwnetwork 信产部备案号: 浙ICP备09010049号-5
软件开发, 行业软件, 网站建设, 网站托管, 服务器技术  网站地图 RSS订阅