刚才看到美国联合航空公司(United Airlines)也发起了颇有特色的漏洞奖励计划。如果你发现了美联航网站和App(注意,不包括飞机内的Wifi或者娱乐系统)中的新bug或者安全漏洞,可以获得里程积分奖励,最高达100万。
虽然里程积分与现金相比还是逊了一点,很难吸引最优秀的黑客(他们现在太火了),但是作为一家传统企业,美联航能迈出这一步,难能可贵。
要知道就在几周前,知名安全研究者Chris Robert还因为飞行中在Twitter上开玩笑地提到了机内系统的安全问题,一下飞机就被FBI带走询问,然后再想坐美联航航班时被拒绝了。
今天的软件生产系统动辄很大量的代码,还有众多第三方依赖,因此问题总是存在的,没有百分之百的安全。那怎么才能使自己的系统更安全、用户更有保障?
有见识的公司早已经知道,提高安全性的必由之道,是与安全社区更好地合作,公开透明,让问题尽早暴露。决不能学鸵鸟,自我封闭,平时对安全不上心,也不与安全圈子通气,出了问题只想着公关删贴,掩耳盗铃。
怎么与安全社区合作?企业的技术负责人或者专职安全负责人(如果有的话)要多参加安全活动,多认识安全圈子的人。还有一个更直接了当的办法,是发起漏洞奖励计划(Bug bounty program)。
顾名思义,漏洞奖励计划就是设定一些物质奖励,欢迎大家来找自己系统的漏洞,本质是一种安全测试的众包,而且还有宣传效果,又方便与大家打成一片,好处多多。
历史上已知最早的漏洞奖励计划是浏览器公司Netscape 1995年设立的。2004年,Mozilla继承了这一传统。一年后TippingPoint(现在是HP的一部分)设立著名的Zero Day Initiative(ZDI),至今仍在运行。2010年之后,Google、Facebook和微软等公司都开始在类似项目上投入重金,奖金多达几百 万美元,而且有越来越高的趋势。
国内乌云社区和360的补天等也开始有类似项目。
1金宣创作助手:本系统基于..
2IE被弃之探:开源的垄断..
358同城与赶集网最快今日..
4谨防AI诈骗“入侵”你的..
5如何设计一款优秀的软件架..
6Qualcomm文艳山:..
7奢侈品寒冬到来,关了门店..
8HTC的股票暴跌与And..
9上网需求暴增 美国决定开..
10ChatGPT账号交易大..
11谷歌即将发射成千上万热气..
12宁海开游 风光独好
13“互联网女皇”Mary ..
14专访豌豆荚「自动装」开发..
15雅虎的无奈,将关闭地图、..
16电信HTTP劫持,又新增..
17自我知识管理:连贯性就是..
18仿微软?传iPad可支持..
19支付宝现网络故障账号无法..
20总结:2016年编程方面..
金宣小助手
官网微信公众号
