刚才看到美国联合航空公司(United Airlines)也发起了颇有特色的漏洞奖励计划。如果你发现了美联航网站和App(注意,不包括飞机内的Wifi或者娱乐系统)中的新bug或者安全漏洞,可以获得里程积分奖励,最高达100万。
虽然里程积分与现金相比还是逊了一点,很难吸引最优秀的黑客(他们现在太火了),但是作为一家传统企业,美联航能迈出这一步,难能可贵。
要知道就在几周前,知名安全研究者Chris Robert还因为飞行中在Twitter上开玩笑地提到了机内系统的安全问题,一下飞机就被FBI带走询问,然后再想坐美联航航班时被拒绝了。
今天的软件生产系统动辄很大量的代码,还有众多第三方依赖,因此问题总是存在的,没有百分之百的安全。那怎么才能使自己的系统更安全、用户更有保障?
有见识的公司早已经知道,提高安全性的必由之道,是与安全社区更好地合作,公开透明,让问题尽早暴露。决不能学鸵鸟,自我封闭,平时对安全不上心,也不与安全圈子通气,出了问题只想着公关删贴,掩耳盗铃。
怎么与安全社区合作?企业的技术负责人或者专职安全负责人(如果有的话)要多参加安全活动,多认识安全圈子的人。还有一个更直接了当的办法,是发起漏洞奖励计划(Bug bounty program)。
顾名思义,漏洞奖励计划就是设定一些物质奖励,欢迎大家来找自己系统的漏洞,本质是一种安全测试的众包,而且还有宣传效果,又方便与大家打成一片,好处多多。
历史上已知最早的漏洞奖励计划是浏览器公司Netscape 1995年设立的。2004年,Mozilla继承了这一传统。一年后TippingPoint(现在是HP的一部分)设立著名的Zero Day Initiative(ZDI),至今仍在运行。2010年之后,Google、Facebook和微软等公司都开始在类似项目上投入重金,奖金多达几百万美元,而且有越来越高的趋势。
国内乌云社区和360的补天等也开始有类似项目。