在面對來勢洶洶的資安威脅時,往往給開發商帶來許多負擔。若能在被攻擊前先一步發現這些漏洞的話便可以阻止一些不必要的損失。為了讓客戶能夠更放心及安全使用他們的產品,漏洞獎金計畫逐漸被各大公司採用。
漏洞獎金計畫(Bug bounty program)是許多公司、網頁或是程式開發商都會發起的一項計畫,用意在吸引一些在資訊安全領域上有一定能力的用戶、白帽駭客等來幫助修復問題,及早發現發起人還未發現的漏洞。同時當發現者把一些安全漏洞提報給發起人後,依據這些漏洞的的嚴重程度獎金也會有不一樣的多寡。
因為這些資安漏洞容易造成我們之前所聊過的零時差攻擊(Zero-day attack),所以許多公司皆有屬於他們的漏洞獎金計畫。
正因為有幫助才會有獎金計畫的推動和實施,以下是有關獎金計畫能夠帶來的優勢:
提高安全性:獎金計畫有助於提高軟體和系統的安全性,因為它們可以得到來自第三方的資安協助(用戶、白帽駭客、資安領域專家等)
節省成本:及早發現並修補漏洞可以節省漏洞攻擊發生後帶來的不必要的成本和損失
社群參與:獎金計畫有助於建立更廣泛的資訊安全社群,推動相關知識的分享
以Google的漏洞獎金計畫(Vulnerability Reward Program)為例,這項計畫從2010年11月開始至今每年都不間斷持續著。
下圖是Google發布的有關他們獎金計畫從2015年來到2022年的趨勢圖,可以看到他們給出的獎金從原本200萬美元至去年為止的1200萬美元。光是去年2022年獎金計畫就為他們解決了超過2900個資安相關的漏洞,最高單人賞金更是高達60萬5000美元,由此可以知道獎金計畫對於Google的資安來說是多麼重要有幫助的。
(圖片來源:https://security.googleblog.com/2023/02/vulnerability-reward-program-2022-year.html)
參考資料