没1500美元 别想打动白帽子挖漏洞
作者:星期四, 二月 4, 20160

漏洞收集平台Bug Crowd指出,穷得叮当响的机构如果想设立漏洞奖励项目,要做好至少为毫不重要但有所相关的漏洞支付至少1500美元的准备。

640.webp (1)

关键漏洞或P1级别的漏洞在任何地方的价值都应当在1千5百到1万5千美金之间,具体金额取决于机构的安全防御成熟度。稍微还有那么一点作用的漏洞至少值100到300美金。

BugCrowd 老板卡西·埃力斯(Casey Ellis)说,他们收到了大量关于如何适当进行奖励的询问。

埃利斯在公司报告中说:“这些问题很棒,随着漏洞奖励市场不断成熟,它们的答案也将变化。”

尽管市场正不断发展,成功的关键始终没有变。要想运行一项成功的奖励计划,你必须用适当的激励吸引厉害的研究人员。

 

640.webp (2)

BugCrowd 公司的问卷

对于任何市场而言,其存在价值都在于交易行为本身。漏洞奖励市场目前所处的阶段还相当初级。

只配备基本安全防御的机构情况如下:将信息安全视为“必要的恶”、信息安全官只管理一个小型乃至微型团队、这个团队分属于 IT 部门。

先进的组织配有信息安全官,他会向 CEO 汇报并和董事会谈话。在这些难以捉摸的机构中,安全是被归档保存的正事,也是“文化的一部分”。

 

640.webp (3)

漏洞严重性等级评定

想要无偿提交漏洞的机构应当首先设立一个专门的、易于定位的邮箱,方便漏洞提交。

目前是响应为王的时代。然而,被人们无视的漏洞很有可能会变成零日,成为大型数据泄露事件的导火索。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章