虽然Gartner没有专门针对漏洞赏金或众包安全测试的魔力象限,但GartnerPeerInsights在“应用程序众包测试服务”类别中列出了24家供应商。如果您想增强公司现有的软件测试库,以包括世界各地安全研究人员的知识和专业知识,这里有5个有前途的漏洞赏金平台。1.HackerOne官网:https://www.hackerone.com/作为一家背后有众多著名风险投资家的独角兽公司,HackerOne可能是世界上最知名、最受认可的漏洞赏金品牌。其最新的年报显示,超过1700家企业信赖HackerOne平台,并依托HackerOne提升内部应用安全测试能力。报告还称,HackerOne的安全研究人员仅在2019年就获得了约4000万美元的赏金,累计赏金金额高达8200万美元。HackerOne的声誉还来自主持美国政府漏洞赏金计划,包括美国国防部和美国陆军的漏洞披露计划。与其他一些漏洞赏金计划和漏洞披露计划(VDP)类似,HackerOne现在还依赖全球经验丰富的安全研究人员提供渗透测试服务。HackerOne的安全认证非常全面,包括ISO27001和FedRAMP授权。2.BugCrowd网站:https://www.bugcrowd.com/BugCrowd由网络安全专家CaseyEllis创立,可能是最具创新性的漏洞赏金平台。BugCrowd不仅积极推广传统的众包安全测试服务,还倡导攻击面管理和一系列针对物联网、API甚至网络的渗透测试服务,在快速增长的众包安全市场中领先于其他竞争对手。BugCrowd还适度推广各种软件开发生命周期(SDLC)集成功能,方便客户高效集成和推广DevSecOps工作流程。亚马逊、VISA、eBay和久负盛名的(ISC)2网络安全教育研究所等行业巨头已将他们的漏洞赏金计划委托给BugCrowd。许多安全研究的新手也通过BugCrowd大学、其持续的安全网络研讨会和培训熟悉了BugCrowd。这个创新平台汇集了客户的研究人员。3.OpenBugBountyURL:https://www.openbugbounty.org/新兴的OpenBugBounty项目是我们列表中唯一的非营利性漏洞披露和漏洞赏金平台。Alexa排名表明OpenBugBounty即将成功超越绝大多数商业竞争对手。在1,200多个活跃的漏洞赏金计划的支持下,OpenBugBounty还允许协作披露任何网站上的漏洞,如果它们是通过非侵入性方法检测到的。在OpenBugBounty上创建漏洞赏金计划是完全免费的,不需要向研究人员支付报酬,但鼓励至少感谢研究人员的努力并公开推荐他们。OpenBugBounty为AustrianTelekomA1和Drupal等公司提供漏洞赏金计划,目前已有超过20,000名安全研究人员做出贡献,并提交了近800,000个安全漏洞。该平台表示其政策和披露流程遵循ISO29147标准。OpenBugBounty还与各国的CERT(计算机应急响应小组)和执法机构合作,为他们提供对该平台的免费API访问权限,同时在研究人员公开披露他们的发现之前对漏洞的详细信息保密。4.SynAck网站:https://www.synack.com/由IntelCapital和KleinerPerkins等知名风险投资基金支持,2015年至2019年,SynAck四次入选CNBC(美国)消费者新闻和商业频道)“颠覆者”称号。SynAck在商业漏洞赏金平台中名列前茅,还被评为Gartner企业软件初创企业25强。SynAck由安全远见者和前美国国家安全局雇员JayKaplan和MarkKuhr共同创立,提供一支由经过全面审查的网络安全研究人员组成的精英团队,称为“红队”(SRT)。据SynAck介绍,SRT团队的安全专家背景清晰,行业经验丰富。由于红队成员进行了详尽而全面的尽职调查,并记录了他们的所有活动以供未来分析或审计,SynAck已成功跻身于受信任的众包安全测试服务的领导者之列。此外,SynAck已与包括微软、AWS和HPE在内的行业领导者建立了合作伙伴关系和技术联盟,显示出强劲的增长潜力。5.YesWeHack网址:https://www.yeswehack.com/YesWeHack是2021年的后起之秀。作为欧洲漏洞赏金和漏洞披露公司之一,YesWeHack成功吸引了注重严格隐私和数据保护的欧盟公司。近日,YesWeHack公布了2020年亚洲创纪录的250%增长率,证明了欧洲初创公司在全球扩张的能力。与BugCrowd类似,YesWeHack也准备投资人才。去年,YesWeHack启动了一项培训计划,以帮助漏洞赏金猎人使用YesWeHackDOJO平台磨练他们的黑客技能。该计划提供针对特定安全漏洞的入门课程和培训级别,以及您可以练习技能的培训环境。全世界的安全研究人员都可以使用DOJO平台来磨练他们的软件安全测试技术。最后,YesWeHack还展示了吸引法国OVH集团等欧洲知名客户的能力。除了上面提到的排名前五的漏洞赏金平台外,市场上还有许多其他独特而优秀的平台,例如欧洲领先的道德黑客网络之一的Intigriti。漏洞赏金计划已经开始从纯粹的众包安全测试过渡到提供经典渗透测试和许多其他服务的综合网络安全平台。很难预测漏洞赏金平台与传统托管安全服务提供商(MSSP)和网络安全供应商相比会有多成功,但漏洞赏金无疑创造了一个具有巨大潜力的新市场利基。正如几十年前开源Linux撼动了微软的商业闭源操作系统,并催生了数十亿美元的红帽企业一样,开放免费的OpenBugBounty项目正在推动漏洞赏金计划的不断成熟。这标志着漏洞赏金市场正在逐渐壮大,竞争越来越激烈,越来越多的新玩家加入进来。我们可以预期,未来会有更多的风险投资加入,会有更多的并购,这将推动众包安全市场的持续扩张。
