一个错误值多少钱?谈论漏洞赏金研究人员的各个方面。另外,谷歌去年为其漏洞赏金计划支付了总计300万美元。但这些数字究竟是如何确定的呢?根据Bugcrowd运营副总裁大卫贝克的说法,如此庞大的数量意味着公司已经开始认真考虑市场上安全漏洞的实际价值。“一只虫子值多少钱?”他说,这可以说是众包安全测试中最常见的问题。“随着漏洞赏金计划的成熟,答案也在迅速演变,但此类计划成功的关键并未改变——即使用适量的激励措施来推动研究人员开展工作。但是,大多数公司并没有完全意识到确定赏金的确切数额所涉及的复杂性,”Bakers说。为了解决这个问题,Baker分享了他在开发漏洞赏金计划时的一些经验教训,包括如何以及何时增加赏金金额,以及企业如何从赏金计划中获得最大收益。·千里之行始于足下:在项目的初始定义中,必须强调取得成功的重要性。首先,在最起码,研究者应该清楚什么要测,什么不要测——这对取得好的结果至关重要。另外,这种明确的区间划分也能有效控制奖励金额。毕竟作为发起者,企业有必要了解特定漏洞可能造成的损失程度,并考虑如何相应地设置奖金。·定义漏洞的实际价值:这是最重要的问题之一企业在制定项目成功标准时需要回答,具体回答取决于企业自身的目标,甚至是安全团队的规模。随着越来越多的公司将他们的业务和安全目标与众包安全计划联系起来,我们看到研究人员参与的动机和活动有所增加。通过仔细了解和评估潜在漏洞对业务的影响,同时比较市场上过去的例子,公司可以更准确地定义何时以及哪些特定错误最重要(事实上,错误重要性确实会随着时间而变化)。·选择合适的时间和价格:企业的安全成熟度决定了漏洞的实际价格。毫无疑问,安全成熟度高的企业往往更注重安全流程,因此要花更多的时间和精力去寻找遗漏的漏洞。在此类项目中,最好根据优先级制定赏金计划,但请记住给予与您的努力相匹配的奖励。建立有竞争力的项目:目前,漏洞赏金市场发展迅速,导致各种项目之间的竞争非常激烈。如果没有适当的指导,许多企业项目将没有竞争力,也不会吸引优秀的研究人员。除了现金奖励,我们还应该考虑推广和发布有趣的目标——因为人才也喜欢公开他们的发现。这不仅可以肯定他们的技能或知识水平,帮助他们领导的团队和用户了解如何发现bug,还可以为个人提供良好的就业机会和社区影响力。·营销的力量:另外,不要忽视漏洞赏金项目对公司本身的营销效果。许多企业利用他们的漏洞赏金计划作为展示其安全性的机会。增加奖励还可以表明您认真对待您的企业和客户的安全。原标题:一个bug值多少钱?原作者:瑞安·弗朗西斯
