随着安全成为网络中越来越重要的因素,各互联网公司纷纷采用各种方法来提高产品安全。漏洞奖励计划就是很多公司针对发布后产品的安全所提出的应对策略。早在 2011 年,社交网络巨头Facebook 就推出了自己的漏洞奖励计划。该公司对发现其网络中安全缺陷的研究人员提供500 美元或更高的奖励。近期, Dropbox 也推出了类似的奖励计划,旨在集众多相关研究人员的力量来提高产品安全。上周,谷歌刚刚推出针对查找安卓系统漏洞的“安卓安全奖励”计划,对每个漏洞提供最少500 美元奖金。近日, LinkedIn 也低调公布了自己漏洞奖励计划的一些情况。
一般的漏洞奖励计划都是采用公开或者第三方的服务来进行管理。但是,LinkedIn 采用了一种截然不同的方法。从去年 10 月份开始,LinkedIn 开始运行一个私密的奖励计划,用于帮助其安全团队发现并修补一些漏洞。目前,LinkedIn 通过该计划已经修补了 65 个漏洞,支付超过了 65000 美元的奖金。该公司信息安全部经理Cory Scott 表示,通过分享私密型漏洞奖励计划的一些情况,LinkedIn 希望能给其他公司一些相关的经验和参考。
Scott 提出,LinkedIn 之前已经观察到很多漏洞奖励计划中提交的报告质量正在逐步下降。各公司不得不花费更多的人力资源来对报告进行甄别,发掘其中真正有价值的报告。这就造成了大量资源的浪费和效率的降低。与此同时,LinkedIn 发现有一批研究人员在不期待任何奖励的情况下,仍坚持进行漏洞的查找和修补工作。于是,LinkedIn 才发布了私密性的漏洞奖励计划。该计划以这些高素质研究人员为主要招募对象,也邀请了参与其他奖励计划或者在漏洞报告方面有着很好声誉的研究人员参与其中。通过保证漏洞提交者的范围,LinkedIn 一方面可以获得高质量的漏洞报告,另外一方面也给相关人员以物质奖励,鼓励其继续进行安全方面的工作。
该计划目前已经成功运行 8 个月左右。从现在的结果来看,这种私密性的计划的确能够给应用程序安全团队很大的帮助。公司在过去的 8 个月中已经支付了超过 65000 美金,用于用户数据或 LinkedIn 架构方面的实现和设计漏洞的发现和修复。其中一些漏洞还是应用程序安全方面经常出现的问题,包括跨网站脚本攻击、跨网站请求伪造、SQL 注入、认证缺陷、访问控制相关的问题以及服务器端的代码执行方面的漏洞等。
Scott 表示,除了实际的漏洞修复,奖励计划其实还能够给公众一个正面的信号——LinkedIn 公司一直密切关注安全方面的漏洞,并试图建立一个发现 / 修复漏洞的良好环境。未来,LinkedIn 或许会考虑针对特定测试或者目标而进行公开奖励计划。同时,公司也会加入其他顶尖技术公司的潮流中,利用“众包”等进行漏洞寻找和修复。
感谢魏星对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。
评论