精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    漏洞到底值多少錢?

    漏洞獎勵數(shù)額不是“看著給的”,而是經(jīng)過精心計算的。

    口令安全公司1Password最近將其漏洞獎勵最高獎金從$25,000提升到了$100,000。其博客上稱,獎金數(shù)額的增加,是為了更進(jìn)一步激勵研究人員。無獨有偶,谷歌去年的漏洞獎勵項目也是大手筆,共花了300萬美元。

    但是,這些數(shù)額到底是怎么確定的呢?

    眾測平臺Bugcrowd的運營副總裁大衛(wèi)·貝克表示,這些大獎表明,公司企業(yè)已經(jīng)開始真正思考漏洞市場,以及漏洞的市場價值。

    “一個漏洞應(yīng)該值多少錢?”,這是寄望于眾包安全測試的公司常會提出的問題。

    隨著漏洞獎勵市場的成熟,該問題的答案也在不斷發(fā)展中,但成功關(guān)鍵還是保持不變——以恰當(dāng)?shù)募钗_的研究人員。然而,大多數(shù)公司都沒認(rèn)識到的是,影響?yīng)剟钪Ц秴^(qū)間的決定因素是多樣而又復(fù)雜的。

    從定義范圍,到建立有吸引力的支付區(qū)間和吸引具有堅實基礎(chǔ)的研究人員積極參與,啟動一個獎勵項目會非常復(fù)雜,且會隨著項目的進(jìn)程愈趨復(fù)雜。貝克共享了一些界定漏洞獎勵項目范圍的最佳實踐,包括怎樣提升支付額度,何時提升,以及公司企業(yè)該如何從獎勵項目中獲取最大收益。

    換位思考

    最開始界定項目范圍的時候,強(qiáng)調(diào)范圍對項目成功的關(guān)鍵性是十分重要的。范圍以最簡單的形式告訴研究人員哪些該做,哪些不該做,這將決定你能否從眾包項目中獲得想要的結(jié)果。而且,這還延伸到了定價目標(biāo)。不妨將自己換位到研究人員的角色去思考。你知道特定漏洞對公司的價值——這就是你應(yīng)該為此支付的金額。

    定義漏洞價值

    這是公司成功創(chuàng)建范圍所需要問的重要問題之一,且取決于公司、公司目標(biāo),以及公司安全團(tuán)隊的規(guī)模。隨著越來越多的公司將其業(yè)務(wù)和安全目標(biāo)依托眾包出去的安全項目,我們開始看到眾包動機(jī)和活動的總體上升趨勢。通過深入研究和評估潛在漏洞對業(yè)務(wù)的影響,以及了解漏洞市場,公司可以在任意時間點正確定義特定漏洞的價值(該價值會隨時間而變化)。

    正確的時間正確的價格

    公司安全成熟度,是確定漏洞獎勵方式的關(guān)鍵因素。有著更為成熟的安全項目的公司,會具備聚焦安全的過程。因此,漏洞也就需要花費更多的時間精力去查找。建議基于優(yōu)先級分類來定義漏洞的項目獎勵,但要記得隨漏洞對公司安全的意義增加獎金。

    創(chuàng)建有競爭力的項目

    漏洞獎勵市場快速發(fā)展,各項目之間存在競爭,若沒有恰當(dāng)?shù)闹笇?dǎo),很多公司會陷入項目籍籍無名的困境,吸引不到最好的研究人員。保持競爭性不僅僅止于高額獎金——屬意目標(biāo)的廣度總能吸引到人才,公開發(fā)行的機(jī)會也有同樣效果。對研究人員而言,公開曝光是某種形式上的威望,證明了挖掘有價值事物所需的技術(shù)和知識,也是教授同行和消費者野生漏洞的教育工具。同時,也為初入行的個人提供了職業(yè)機(jī)會和授權(quán)影響力。

    市場營銷的力量

    別低估了漏洞獎勵項目市場營銷的力量。很多公司將其漏洞獎勵項目作為展示其安全態(tài)勢的大好機(jī)會。增加獎勵,是展示公司對自身安全和客戶安全重視程度的絕佳方式。

    極客網(wǎng)企業(yè)會員

    免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

    2017-03-29
    漏洞到底值多少錢?
    口令安全公司1Password最近將其漏洞獎勵最高獎金從$25,000提升到了$100,000。其博客上稱,獎金數(shù)額的增加,是為了更進(jìn)一步激勵研究人員。無獨有偶,谷歌去年的漏洞獎勵項目也是大手筆,共花了300萬美元。

    長按掃碼 閱讀全文