据外媒报道,为鼓励安全研究人员积极向当局提交漏洞报告,美国国土安全部(DHS)一度启动HackDHS漏洞赏金计划。然而,随着Log4j威胁的加剧,美国网络安全和基础设施安全(CISA)的JenEasterly在推特上宣布了HackDHS项目的更新。美国国防部(DHS)下属的机构CISA正在密切关注漏洞利用。微软等科技巨头甚至指出,全球很多背景深厚的黑客都在积极利用Log4shell漏洞。在Log4shell漏洞被公开披露几天后,DHS上周启动了HackDHS计划,以更好地应对相关事件。与许多私营部门的漏洞赏金计划不同,HackDHS并不是一个完全向公众开放的计划,而是希望吸引更多经过审查的网络安全研究人员加入。据悉,该计划将分为三个阶段。在第一阶段,安全研究人员将对某些国土安全部外部系统进行虚拟评估。到第二阶段,他们将参加现场面对面的黑客会议。在最后的第三阶段,国土安全部将识别和审查数据,并为未来的漏洞赏金计划制定计划。虽然围绕Log4j的主要漏洞实施了两轮修复,但由于早期补丁存在缺陷,很多Log4j应用并没有及时更新,部分系统也没有正确打补丁。路上还有一系列的测试。至于HackDHS项目的资格,首先要被DHS选中才有机会参与。最后,如果成功找到漏洞,可以获得5000美元的奖励。DHS将在暴露后48小时内核实缺陷,力争在15天内完成修复。但是,如果漏洞更加复杂和严重,DHS也可能需要更长的时间。
