澳门新葡亰信誉平台游戏漏洞悬赏平台 IBB 成立,专注找茬 PHP 等大项目

by admin on 2020年3月5日

前两天我们报道过欧盟针对 14
个开源项目开启漏洞赏金计划的消息,欧盟将为
Filezilla、Apache Kafka、Notepad++、PuTTY、VLC Media Player、FLUX
TL、KeePass、7-zip、Digital Signature Services (DSS)、Drupal、GNU C
Library (glibc)、PHP Symfony、Apache Tomcat 和 WSO2
等项目提供资助,以每个 3 万到 9 万欧元不等的赏金,鼓励用户向开源项目提供
Bug 。

安全公司 HackerOne 的创始人 Alex Rice 近日联合 Fackbook
、微软,成立一个新的漏洞悬赏平台Internet Bug
Bounty(IBB)。

澳门新葡亰信誉平台游戏 1

该计划公布后,在受到好评的同时也引起了争议。有网站发文评论道,欧盟的悬赏计划的重点是发现漏洞,而不是修复漏洞,这其实有点本末倒置。这些开源软件的维护者本身就已经有很长的待修复列表,再加上“漏洞猎人”的反馈,整个修复列表会变得更长。这无意增加了维护中的压力,也导致他们需要更多资源才能去解决问题。

该平台目前的悬赏计划针对一批对互联网至关重要的开源项目,包括 PHP, perl,
Python, Ruby, OpenSSH 等。Rice 解释,因为这些项目自身无力运作漏洞悬赏。

近日,谷歌宣布计划从明年开始对已有6年历史的补丁奖励计划进行修订。预计从2020年1月1日开始,谷歌将改变该计划的工作方式,可以在开源项目实现相应的安全功能之前,就预先提供财务援助。

Luta Security 的创始人兼软件漏洞管理专家 Katie Moussouris 在 Twitter
上写道:“我不认为这个悬赏计划是好事,更多的漏洞意味着需要更多的维护者,这些人的援助资源在哪里?”

参与到这项漏洞悬赏计划的安全研究人员,在发现安全漏洞后,会得到“赏金”或其它经济奖励。“漏洞发现后会直接反映给该项目的维护者,并由他们修复。”Rice说,“奖赏由
Facebook 和 Internet Bug Bounty 成员发放。”

现行版本的弊端

澳门新葡亰信誉平台游戏 2

悬赏的软件

  • Sandbox Escapes

  • The Internet

  • Flash

  • Python

  • Ruby

  • PHP

  • Django

  • Ruby on Rails

  • Perl

  • OpenSSL

  • Nginx

  • Apache httpd

  • Phabricator

查看全部

Patch
Rewards始于2013年10月,是谷歌最古老的安全意识项目之一。现行版本的Patch
Rewards同样会向开源项目的维护者提供财务援助,但是实际支付必须等到相应项目功能实现之后。

对此你怎么看?欢迎评论!

另外,维护者必须提出申请,提供相应的计划。但是实际上,很多开源项目维护者是根据收到的赞助来优先考虑开发计划的,这种赞助方式在FOSS社区中应用得很广泛。比如一家公司需要开源中的特定功能,那么可以通过向项目捐赠的方式,要求维护者优先实现他们需要的功能。

(文/开源中国)    

IBB 的专家组成员

这些成员来自安全社区的专家,他们负责制定规则,分配赏金,处理一些可能发生的异议等,他们是:

  • Alex Rice, HackerOne

  • Chris Evans, Google Project Zero

  • Katie Moussouris, HackerOne

  • Zane Lackey, Signal Sciences

  • Jesse Burns, NCC Group

  • Collin Greene, Uber

  • Matt Miller, Microsoft

  • Roman Porter, Microsoft

  • Neal Poole, Facebook

  • Kostya Kortchinsky, Google

  • Peleus Uhley, Adobe

专家成员仅代表他们个人,不代表其公司

联系专家组成员

编译自:esecurityplanet.com
& internetbugbounty.org

新计划奖励规则

谷歌宣布,开源项目维护者可以通过Patch
Rewards计划要求预付资金,来支持两种类型的安全升级:

解决少数安全问题的小型项目可以获得5000美元的赞助,比如改进特权分离或沙箱、清除整数artimetrics,或者修复由漏洞赏金计划在开源软件中发现的漏洞。

在安全性上进行的大型项目可以获得30000美元的赞助,比如寻找更多的开发人员,或者实施重要的新安全性功能,比如优化编译器。

新计划依然需要开发者提交申请表格,谷歌内部的一个小组将每月审查所有提交的项目,并选择资助的对象。谷歌安全技术计划经理Jan
Keller说:“在选择项目时,小组将重点关注对因特网安全至关重要的项目,或者是具有大量用户群的最终用户项目。”

为了让读者了解Google通常选择哪种类型的应用程序和库,在Patch
Rewards计划主页,我们可以看到谷歌倾向支持的开源项目类型。

所以,这归根到底还是一项开源的定向资金激励计划,只不过谷歌更专注于安全特性方面,不是吗?

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图