美国空军Bug Bounty计划以125,000美元计算54个缺陷

admin 2019-8-11 169

空军将50名经过审查的黑客聚集在一起,以查找由美国军方分支机构主持的最新漏洞赏金计划中的漏洞。

计划管理公司Bugcrowd在8月6日表示,为期六周的狩猎比赛在美国空军的公共计算环境(CCE)中提供了54个安全漏洞的信息,这是一个旨在提供在线应用程序的分支机构云平台。

50名经过审查的黑客参与的漏洞赏金计划获得了123,000美元的奖金,或平均每位参与者2,460美元。Bugcrowd的首席技术官兼创始人Casey Ellis表示,向美国空军报告的问题的数量和严重程度显示了众包模式的优势。

“如果你让人们构建软件,建立环境,那么他们也会犯错误,这就是你想要抓住并提供反馈的东西,”他说。“这是为了让黑客成为解决方案的一部分,并弄清楚如何让他们参与政府网络安全活动。”

作为在特定产品和服务中查找漏洞的廉价方式,Bug赏金已经变得更加流行。除了美国空军之外,美国军方的每个分支机构都对其部分信息基础设施进行了重大的赏金计划。2016年11月,美国陆军发起了“Hack the Army”活动,共有来自371名合格参与者的118份有效漏洞报告。而且,去年在拉斯维加斯举行的DEF CON会议上,美国海军陆战队进行了9小时的黑客活动,其中75个漏洞的奖金为80,000美元。

随着美国政府逐步增加对云的使用,军方也在考虑测试其云基础设施的安全性。据空军称,CCE是美国空军基于云的平台,目前截至4月份已有21个应用程序。根据美国空军的声明,军事部门自2015年以来已在云平台上花费了1.36亿美元,但已经节省了运营和管理问题。

埃利斯表示,作为对众包安全可能不熟悉的组织的初步验证,错误赏金计划取得了成功。下一步,它定期使用bug赏金系统地提高基础设施安全性。

“经过初步验证,我们正处于这样一个阶段:我们作为一个行业正在研究如何将黑客社区的反馈纳入我们如何安全地构建我们的东西,”埃利斯说。“每个组织都会有所不同。”

在2018年,虫子赏金计划又有一年的增长。Bugcrowd和HackerOne都宣布创纪录的收入。HackerOne 为其客户的软件和系统中的100,000多个漏洞提供了超过1,900万美元的信息。根据其“优先级一:2019年众包安全状况”报告,Bugcrowd帮助其客户在2018年增加了29%的项目,并提交了92%的更多项目。

根据Bugcrowd的报告,美国空军计划的平均支出为2,460美元,非常接近2018年漏洞平均值2,442美元的平均值。最赚钱的奖金,每个bug超过8,550美元,是针对物联网设备中发现的漏洞支付的。总体而言,Bugcrowd发现2018年的漏洞奖金比上一年增加了83%。

“尽管物联网设备中的漏洞 - 冰箱和DVR - 因其新颖性和恐惧因素而引起我们的注意,但它们仍远远超过网络应用程序中的漏洞,”该公司在报告中表示。“事实上,网络应用程序漏洞一直是我们计划中提交的最多漏洞,并相应地占所支付奖励的最高百分比。”

虽然美国空军的虫子赏金计划似乎令人印象深刻,但这些计划的回报往往会使相对较少的人受益。因为有50名研究人员,普通研究人员只看到了一个奖励。实际上,大多数奖项都可能归于少数研究人员。去年发表的一篇学术论文发现,虚假赏金往往会产生扭曲的回报。 

埃利斯说,虽然现在每个军事部门都在进行,但要达到这一点需要克服重大障碍。“国防部和空军将接受外部黑客社区的帮助 - 这不是一个直观的事情,”他说。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:交易中心化EtherDelta正式立案
下一篇:如何安全使用Wi-Fi热点的7种方法
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回