腾讯安全应急响应中心（TSRC）昨日宣布，将以前实行的“通用软件漏洞奖励计划”升级为“互联网生态安全漏洞奖励计划”。新的奖励计划优先考虑的软件较之前有了大幅度增加，重点新增了大数据存储、云和虚拟化相关的软件。

通用软件漏洞奖励计划于去年10月份推出，其实质上是最早的“漏洞奖励计划”的提升。它意味着TSRC平台上从事漏洞挖掘工作的白帽黑客，不必只提交腾讯产品和服务的漏洞，一切通用框架、组件、应用程序或者系统（即通用软件）的严重漏洞都可提交到TSRC的平台上，并因此而获得奖励。奖励计划一期现金总额达100万人民币。

那么此次TSRC又将推行不久的通用软件奖励升级为互联网生态安全奖励的关键意义何在呢？

据TSRC介绍，与通用软件漏洞奖励计划不同，“互联网生态安全漏洞奖励计划”在奖励漏洞报告者的同时，还会通过定向捐赠现金、组织安全技术交流等方式，帮助通用软件开发组织提高软件安全性（对于影响巨大的漏洞会给予额外的现金奖励，最高额度50万，并且TSRC会以漏洞报告者的名义向该漏洞对应的软件基金会捐赠相同额度的现金）。相比只奖励漏洞发现者的模式，这种增加对软件开发者支持的新做法更加有助于从根本上解决安全问题。

目前在全球范围内广泛使用的通用软件，很多是由开源组织开发的。开源软件的应用越来越受到用户的欢迎而普及，而开源组织通常是由分布在世界各地的程序员组成的松散联盟，不仅在软件开发方面缺少相应的安全机制，并且在资金支持上也存在很大的问题。

前不久，堪称开源软件生态圈一大支柱的GnuPG几近死掉。18年来，程序员沃尔纳·诺克仅凭一已之力苦苦支撑着GnuPG，幸好得到媒体的关注，GnuPG才筹到资金得以支持下去。这种情况在开源世界，实属平常。

另一起令人印象非常深刻的例子就是OpenSSL的心脏出血漏洞。直到该震惊全球互联网的漏洞公布后，大家才愕然意识到这个使用范围如此之广泛和普遍的网站通信加密协议只是由两位名字均为斯蒂夫的研究人员在业余时间更新维护的。

好的一面是，包括亚马逊、Adobe、思科、脸谱和谷歌等科技巨头已经成立了基金，资助类似诺克和斯蒂夫这些开源软件的幕后英雄。

安全牛认为，通过给漏洞提交者（可以称之为监督方）和软件开发方同时提供资金和安全支撑能力，以及及沟通交流的平台，可以从互联网生态平衡的高度去改善软件安全和互联网安全，从而最终保障用户的安全，维护用户的利益。

维护互联网生态圈的健康发展，仅凭腾讯一家企业是不够的，希望看到更多的大型科技企业和研究机构能够参与响应并加入这个阵营，共同维护我们的互联网生态安全圈。