11月22日,DevOps平台GitLab宣布将关键bug赏金提高75%,承诺为关键问题支付20,000至35,000美元,并提高对其他问题的赏金严重错误支出上限(提高50%)。GitLab与许多其他公司一起为发现和报告软件漏洞的研究人员增加奖金。两年来,微软、谷歌和Atlassian都增加了错误报告奖励。GitLab安全副总裁JohnathanHunt表示,漏洞赏金市场正在蓬勃发展,因为公司意识到漏洞赏金可以补充他们的内部安全计划,降低风险,并最终降低发现漏洞的成本。“这是一把双刃剑,”亨特说。“好处是我们可以提高我们的应用程序安全性;我们可以将安全性移到左侧并在漏洞被披露之前发现漏洞。研究人员在我们的平台上花费更多时间。”因此,该公司增加了漏洞赏金。这种漏洞赏金计划的趋势凸显了公司必须在招募研究人员和采用漏洞预防工具和流程之间取得平衡的困难。研究人员对漏洞赏金计划的兴趣总体上有所增长:HackerOne,the漏洞赏金计划管理公司声称,2020年提交漏洞的研究人员数量比上一年增加了63%。然而,成熟产品中的安全漏洞往往更难发现,尤其是那些获得最高赏金的关键漏洞。工具不断改进,公司的应用程序安全态势不断改善,最容易发现的漏洞(所谓的“唾手可得的果实”)消失了,只剩下难以发现的漏洞。CaseyEllis,创始人兼首席执行官众包漏洞公司Bugcrowd表示,这意味着随着漏洞赏金计划生态系统的成熟,将需要更大的赏金来主要培养研究人员寻找漏洞的兴趣。“公司将漏洞赏金设置在一定水平,当他们发现有效报告的速度开始放缓时,就是‘毕业的时候了’:是时候增加赏金并进入下一个级别了,”他说。它调动了黄金无法吸引的黑客,并能有效地激励所有参与者更加投入。”通过增加赏金,GitLab正在追随许多其他软件公司的脚步。就在一年前,微软将其顶级Windows漏洞赏金提高到100,000美元,为各种应用程序和云服务提供了大量漏洞赏金。微软运营着17个漏洞赏金计划,在截至2021年6月的一年中,共有341名研究人员提交了1,261份有效漏洞报告,获得了1♂万美元。谷歌在2020年的漏洞赏金支出几乎翻了一番,共向662名研究人员支付了670万美元,其中单个漏洞的最高赏金达到132,500美元。2021年5月,Atlassian的最高奖金直接翻倍,核心云产品漏洞赏金高达10,000美元。GitHub是GitLab和AtlassianBitbucket的竞争对手,为报告的203个错误支付了超过524,000美元。GitLab的最高赏金目前比GitHub提到的高出5000美元,但GitHub表示其政策是开放式的,可以为特别严重的错误支付更多。GitLab安全副总裁亨特表示,公司之间的竞争可能会加剧安全研究人员的争夺战。他说:“通过增加奖励,我们正试图增加我们的漏洞赏金计划的吸引力、参与度和关注度。我们努力吸引来自世界各地各行各业的人才和技能。老实说,试图找到“我们平台上的错误现在真的很难。越来越难了。我们得到的反馈包含了这个信息。”像GitLab这样的公司仍在完善他们的策略,以吸引合格的研究人员来分析他们的平台。但是为关键错误支付更多的赏金并不一定是正确的方法。“以GitLab本身为例,我们可以将错误赏金提高到100,000美元,但一年只能发现几个,所以如果我们只是增加漏洞赏金,我们可能会付钱给两个人,”亨特说。很多钱。大多数人不会发现P1漏洞,这样做会抑制其他人参与漏洞的积极性赏金计划。我们正在努力做的是全面提高参与度。”此外,由于新软件不断推出和更新,错误永远不会消失,Bugcrowd创始人兼首席执行官埃利斯说。黑客SamyKamkar在社交媒体服务MySpace中发现跨站点脚本(XSS)漏洞已经15年了,但由于此类漏洞难以预防且开发人员很容易犯错误,XSS很可能成为一个主要问题。虽然“超级漏洞猎人”可能会获得最丰厚的赏金,但持久的漏洞发现者无处不在,并将继续可用”,埃利斯说。“有人专注于复杂的攻击链和业务逻辑漏洞利用,也有人以非常规的方式寻找更简单的问题。这真的需要很多人参与。”
