开源软件曾经被视为科技爱好者的“专属”,如今却逐渐成为了基础组件许多关键基础设施组件。
《年开源安全和风险分析 (OSSRA) 报告》显示:2017年,99%的经过审计的活跃代码库至少包含一个开源组件,开源代码占所有代码的70%,这一比例在过去五年中几乎翻了一番。
一番。
75% 的代码库至少包含一个公开漏洞,高于 2017 年的 60%。
近一半的代码库包含高危漏洞,这一比例从 2017 年的 40% 增至 2018 年的 49%。
拥有大量用户的源软件漏洞被利用,数亿设备瞬间受到影响。
面对随时可能爆发的世界级网络安全灾难,安全大脑迅速部署,BugCloud开源漏洞响应平台应运而生。
“我的洞是我的”,BugCloud开创了独立漏洞协商的新模式。
一个漏洞的价值有多大?年初,微软赠送了总金额高达20万美元的奖金,用于奖励漏洞研究院冰刃实验室研究人员发现的Hyper-V RCE漏洞。
通过该漏洞,攻击者只需要一台虚拟机就可以直接影响大范围的云主机和主机的安全。
微软通过社交媒体表达感谢,称安全研究人员提交的漏洞“守护了数十亿用户的信息安全”。
对于企业来说,管理开源的使用非常重要。
现代应用程序包含大量开源组件,这些组件存在安全、许可和代码质量等一系列问题。
BugCloud开源漏洞响应平台专注于通过漏洞赏金收集开源和通用组件中未公开的高危漏洞,降低漏洞利用风险,维护开源软件和供应链的安全。
微软在5月和6月的安全公告中宣布修复了Windows平台的多个安全漏洞。
其中,BugCloud与漏洞研究所共同贡献了22个Windows漏洞并获得致谢,成为本期微软安全公告的最大亮点。
此外,在谷歌5月、6月、7月修复的Android平台安全漏洞中,BugCloud和漏洞研究所也贡献了3个Android漏洞。
在漏洞挖掘方面,BugCloud将继续不遗余力地专注于基础软件的漏洞发现、跟踪和防御,积极推动厂商及时修复威胁。
BugCloud平台上线近一年时间,已收到大量来自全球的开源高危漏洞,包括0day漏洞和1day漏洞。
这些漏洞的提交已成功保护了数千万终端,包括:数万个物联网/网络设备、建站系统等、数万个类别、数万个框架插件、数万个中间件类别、数万种客户端软件等,涉及政府、企事业单位等上百家单位,涵盖:能源、金融、交通、医疗、电信、教育,为政府避免了数亿价值损失遍布全球的许多关键行业领域。
与其他平台相比,BugCloud首创了自协商漏洞提交收录模式和第三方专家评审机制,让安全研究人员充分掌握提交漏洞的主动权,让他们的努力和每个漏洞的价值得到充分的保护和保障。
肯定了。
在漏洞提交前期,安全研究人员只需提交漏洞影响描述,无需提供细节,进行协商沟通;协商过程中,安全研究人员可以随时停止,或要求平台接入第三方业内知名安全专家参与评估。
价值沟通达成后,安全研究人员提交漏洞详情,平台验证并收录。
在最近发起的一项安全研究人员匿名调查中,78.6%的安全研究人员对BugCloud平台首个“先谈钱,再交漏洞”的独立讨价还价模式给出了8分或以上的评分(满分10分)。
给满分。
在漏洞定价方面,71.4%的安全研究人员给予其8分,其中35.7%的用户给予其满分。
此外,在谈到是否愿意推荐其他“漏洞好友”到BugCloud提交漏洞时,%的用户表示:愿意! BugCloud与合作伙伴共同构建了庞大的安全生态系统。
目前,BugCloud已与顶尖安全研究人员和各大SRC联手。
、国内外开源组织社区、知名安全团队、安全厂商等合作伙伴携手共建漏洞生态系统,并发放了累计数千万元的漏洞奖励。
在6月推出的“RCE漏洞赏金计划之夏”活动中,BugCloud建立了价值1万元的漏洞赏金池,并扩大漏洞收集范围,鼓励更多的安全研究人员加入,共建大安全生态。
未来,BugCloud开源漏洞响应平台将继续秉承“Trust、Tenet Principle、Top Authority、Together”的“04T”宗旨,打造一个“基于信任、基于原则”的平台。
以公平、技术驱动、安全专家为基础”为核心“漏洞响应平台”,严守网络安全“生命之门”,共同开创21世纪第五维战略空间新时代。