找安全漏洞厂商给奖金 有的嫌钱太少有的不认同

  • 时间:
  • 浏览:0
  • 来源:1分彩-1分彩平台_1分彩网投平台

CNET科技资讯网2月11日国际报道 Google为了鼓励安全研究人员抓Chrome浏览器的安全漏洞,回应凡是找到线程池错误就给800美元赏金。但每项专家表示,奖金太低,对老练的研究人员不具吸引力。

根据Google上周回应的“实验性”奖赏方案,凡是在Chrome线程池代码中发现特定有趣、不寻常的安全漏洞者,给奖金800美元;发现一阵一阵严重或刁钻的漏洞则致赠奖金1,337美元。

Mozilla也提供800美元奖金,给找出Firefox浏览器、Thunderbird电邮线程池或Mozilla套装软件安全漏洞的研究员。

WhiteHat Security CTO Jeremiah Grossman认为,Google的计划可能带动一股趋势。他说:“可能研究人员纯粹对奖金有兴趣,绝对会追求最高额奖赏。但可能你而是我乐在其中,抓错的一起去又有钱可拿,何乐不为。我长久以来建议微软也那末做,但让其他同学我我觉得这涉及道德上的间题报告 。”

微软坚持不给奖金的立场。

微软高可信度电脑计算经理Dave Forstrom说:“微软不犒赏安全漏洞信息的提供者。让其他同学不认为给酬劳换取安全漏洞信息是协助保护用户的最佳依据,而是我认为这不利于长一一个 健康的生态系。”

Cigital  CTO Gary McGraw认为,付酬劳给专业品保(QA)人员和渗透测试者,比用小钱奖励一般用户协助抓漏洞好。他说:“杰出的专业测试者我不要 受那末低的奖金吸引--或许青少年会为了赚啤酒钱而做。”

独立安全评估公司(ISE)资深研究员Charlie Miller更直言:“我认为这很荒谬,居然是侮辱人。奖金太低。”

Miller认为,软件厂商是应该在内部人员研究人员找出让其他同学商用软件的安全漏洞时,给予报酬,但Google提供的奖金远不如VeriSign iDefense的安全漏洞计划,以及3Com旗下TippingPoint部门的零时差计划(Zero Day Initiative,ZDI)。

他说:“可能我真的找到一一个 Chrome的安全漏洞,我可能卖给ZDI,赚个2,000美元,让其他同学最后还是会通报给Google知道,那末我又不须将就于Google的800美元?这不合理嘛。”

ZDI计划负责人Pedram Amini拒绝透露安全漏洞悬赏计划的确切奖金金额,只承认“平均而言是Google奖金的十倍以上”。

iDefense Intelligence总监Rick Howard表示,Google的悬赏计划跟iDefense支付的奖金相比偏低,但他认为Google的计划应会成功。

针对800美元不是过低以吸引安全人员找漏洞的间题报告 ,Google安全团队(Security Team)成员Chris Evans则在电子邮件中指出:“这项计划经过谨慎的设计,希望让各式各样的线程池漏洞(bugs)都符合给奖条件,怎么让让研究员更容易参与。类似,让其他同学不须必须一份可行的范本线程池(exploit),这通常比找漏洞难得多。”