曾經一度如日中天的漏洞懸賞行業如此看上去並不怎麼樂觀。不僅安全研究人員在抱怨著在一些領先的商業化漏洞平臺上碰到一些阻礙,這些漏洞平臺也在試圖重新把自己定位為“下一代滲透測試”之類的服務。不過,他們這個轉變到底有多成功,大家都心裡有數。
一些慷慨的投資者已經在一些漏洞懸賞初創公司投下了百萬美元。儘管一些初創公司表示自己已經能取代可控的滲透測試(Managed Penetration Test,MPT)服務,但實際上,他們並沒有。不過,至少這些初創公司給全球的滲透測試服務的性價比帶來了正面的影響。
這未來商業化漏洞懸賞平臺的不確定前景下,非營利性項目Open Bug Bounty在他們2019年的年報中展現了令人印象深刻的成長。
僅僅在2019年,基於ISO 29147規定的Open BugBounty就做出瞭如下的報告:
- 總共收到203,449個漏洞的報告(每天約500個),年增長率約為32%。
- 101,931個漏洞被網站所有者修復,相比前一年增長了30%。
- 5,832個新研究者加入了社區,研究人員以及專家總數達13,532名。
- 網站擁有者創建了383個新的漏洞懸賞項目,現在有遍及1,342個網站共657個項目可以進行測試。
如今,Open Bug Bounty已經建立了680個懸賞項目,為超過50個國家的安全研究人員提供有金錢回報以及沒有金錢回報的項目。諸如Telekom Austria、Acronis、United Domains等國際性公司都在Open Bug Bounty上運作自己的漏洞懸賞項目。
那些開開心心對研究人員的負責與熱忱表示感謝,對他們通過平臺發現漏洞給予支持的公司,包括戴爾、宜家、推特、Verizon、飛利浦、數個政府機構以及國際組織、法學院與法律公司、美國律師協會等。
起初,Open Bug Bounty接受的提交包括XSS、CSRF、不正當接入等其他各類網站安全問題,並嚴格要求研究人員不能進行侵入性測試、限制性披露、並遵守平臺的規定。
在2019年,平臺允許任何人就自己的網站,對所有13,000名研究人員發起漏洞懸賞項目,而不收取任何費用或者佣金。
OpenBug Bounty之後宣佈了對現有DevSecOps集成的改進,增添了新的工具和儀表;同時,為現有的SDLC集成補充了Jira和Splunk的支持。
有趣的是,2019年的報告中同樣提到了越來越多的安全公司對與Open Bug Bounty合作,甚至對其收購,展現出越來越多的興趣。不過,平臺很明確地表示了將一直保持公開性與完整性。
國外媒體TheHacker News對Open Bug Bounty團隊就項目的未來進行了採訪:
Q:Open Bug Bounty在2020年有什麼計劃呢?
A:我們會通過增加新的功能、選項和集成能力進行進一步擴張。我們會細緻地傾聽社區的意見,並試著在各方面進行改善以更好地服務網站擁有者和安全研究人員。敏捷性、簡潔性和可靠性都是我們在組建新功能時的關鍵優先項。
Q:你們有意向和商業性的漏洞懸賞項目或者安全公司合作嗎?
A:我們對所有能幫助我們項目,以及能為網站所有者和安全人員維持一個開放與和諧環境的人都持開放態度。我們需要以尊重與公平來治理我們的平臺。
Q:你們在找融資方或者捐贈方嗎?
A:我們只是一小組對網絡安全有熱情的人,在家庭生活和工作之餘管理項目。現在情況來看,我們對工作量很滿意,甚至還有餘力對設計進行更新以使得它看上去更吸引人。我們是下意識地不接受捐贈,也不展示任何商業性廣告,因為我們社區最重要的動力是維護網站的安全性。
Q:你們對整個網絡安全行業有怎樣可見的影響?
A:我們的研究人員與網站擁有者可能是最適合回答這個問題的人了。從我們角度來看,我們發現越來越多的網絡安全學生開始用Open Bug Bounty開始他們的實踐操作;軟件工程師用這個平臺幫助他們的同行增進項目的安全性;專業的漏洞獵人在找一個相比商業化的漏洞懸賞項目更透明的第二選項。我們引起對應用安全的關注、促進OWASP項目,同時努力在全球的網站所有者和軟件開發人員中喚起網站安全意識。
Q:你們認為商業化的漏洞懸賞平臺是你們的競爭對手嗎?
A:並不,我們更傾向於認為雙方是互補的——就像開源軟件和商業軟件一樣。這兩者的理念是完全不同的,但是卻都和諧共存並相互為對方增加價值。在市場上可選的東西越多,對消費者和提供者雙方都會帶來更多的正面效果。
關鍵詞:眾測;漏洞平臺;漏洞獎勵
閱讀更多 數世諮詢 的文章
