曾经一度如日中天的漏洞悬赏行业如此看上去并不怎么乐观。不仅安全研究人员在抱怨着在一些领先的商业化漏洞平台上碰到一些阻碍,这些漏洞平台也在试图重新把自己定位为“下一代渗透测试”之类的服务。不过,他们这个转变到底有多成功,大家都心里有数。
一些慷慨的投资者已经在一些漏洞悬赏初创公司投下了百万美元。尽管一些初创公司表示自己已经能取代可控的渗透测试(Managed Penetration Test,MPT)服务,但实际上,他们并没有。不过,至少这些初创公司给全球的渗透测试服务的性价比带来了正面的影响。
这未来商业化漏洞悬赏平台的不确定前景下,非营利性项目Open Bug Bounty在他们2019年的年报中展现了令人印象深刻的成长。
仅仅在2019年,基于ISO 29147规定的Open BugBounty就做出了如下的报告:
- 总共收到203,449个漏洞的报告(每天约500个),年增长率约为32%。
- 101,931个漏洞被网站所有者修复,相比前一年增长了30%。
- 5,832个新研究者加入了社区,研究人员以及专家总数达13,532名。
- 网站拥有者创建了383个新的漏洞悬赏项目,现在有遍及1,342个网站共657个项目可以进行测试。
如今,Open Bug Bounty已经建立了680个悬赏项目,为超过50个国家的安全研究人员提供有金钱回报以及没有金钱回报的项目。诸如Telekom Austria、Acronis、United Domains等国际性公司都在Open Bug Bounty上运作自己的漏洞悬赏项目。
那些开开心心对研究人员的负责与热忱表示感谢,对他们通过平台发现漏洞给予支持的公司,包括戴尔、宜家、推特、Verizon、飞利浦、数个政府机构以及国际组织、法学院与法律公司、美国律师协会等。
起初,Open Bug Bounty接受的提交包括XSS、CSRF、不正当接入等其他各类网站安全问题,并严格要求研究人员不能进行侵入性测试、限制性披露、并遵守平台的规定。
在2019年,平台允许任何人就自己的网站,对所有13,000名研究人员发起漏洞悬赏项目,而不收取任何费用或者佣金。
OpenBug Bounty之后宣布了对现有DevSecOps集成的改进,增添了新的工具和仪表;同时,为现有的SDLC集成补充了Jira和Splunk的支持。
有趣的是,2019年的报告中同样提到了越来越多的安全公司对与Open Bug Bounty合作,甚至对其收购,展现出越来越多的兴趣。不过,平台很明确地表示了将一直保持公开性与完整性。
国外媒体TheHacker News对Open Bug Bounty团队就项目的未来进行了采访:
Q:Open Bug Bounty在2020年有什么计划呢?
A:我们会通过增加新的功能、选项和集成能力进行进一步扩张。我们会细致地倾听社区的意见,并试着在各方面进行改善以更好地服务网站拥有者和安全研究人员。敏捷性、简洁性和可靠性都是我们在组建新功能时的关键优先项。
Q:你们有意向和商业性的漏洞悬赏项目或者安全公司合作吗?
A:我们对所有能帮助我们项目,以及能为网站所有者和安全人员维持一个开放与和谐环境的人都持开放态度。我们需要以尊重与公平来治理我们的平台。
Q:你们在找融资方或者捐赠方吗?
A:我们只是一小组对网络安全有热情的人,在家庭生活和工作之余管理项目。现在情况来看,我们对工作量很满意,甚至还有余力对设计进行更新以使得它看上去更吸引人。我们是下意识地不接受捐赠,也不展示任何商业性广告,因为我们社区最重要的动力是维护网站的安全性。
Q:你们对整个网络安全行业有怎样可见的影响?
A:我们的研究人员与网站拥有者可能是最适合回答这个问题的人了。从我们角度来看,我们发现越来越多的网络安全学生开始用Open Bug Bounty开始他们的实践操作;软件工程师用这个平台帮助他们的同行增进项目的安全性;专业的漏洞猎人在找一个相比商业化的漏洞悬赏项目更透明的第二选项。我们引起对应用安全的关注、促进OWASP项目,同时努力在全球的网站所有者和软件开发人员中唤起网站安全意识。
Q:你们认为商业化的漏洞悬赏平台是你们的竞争对手吗?
A:并不,我们更倾向于认为双方是互补的——就像开源软件和商业软件一样。这两者的理念是完全不同的,但是却都和谐共存并相互为对方增加价值。在市场上可选的东西越多,对消费者和提供者双方都会带来更多的正面效果。
关键词:众测;漏洞平台;漏洞奖励
閱讀更多 數世諮詢 的文章
