俄罗斯准备为白帽黑客制定漏洞标准定价 吸引更多研究人员发掘漏洞
因为战争原因针对俄罗斯政府系统和企业的网络攻击数量增长的非常多,当然即便没有战争因素日常各类针对政府系统和企业的攻击也并不少。只不过俄罗斯这两年可能因为网络攻击已经有些疲倦,想要通过白帽黑客的力量积极寻找并发掘更多漏洞,赶在黑客展开攻击前完成漏洞的修复工作。
那么怎么才能吸引更多白帽黑客参与安全研究工作呢?答案就是制定统一的定价,给一个标准化的漏洞奖金定价吸引安全研究人员的参与。
日前俄罗斯数字发展部透露正在为漏洞奖金计划(Bug Bounty)制定标准的定价,这项定价将主要被用于俄罗斯政府系统和各个州的漏洞奖金计划。
制定这个计划的原因很简单,通常情况下政府机构和企业因为规模不同给安全研究人员提供的漏洞奖金规模也不同,大型科技公司甚至可能为一个漏洞向研究人员支付 10 万美元的赏金。
在俄罗斯政府系统里有部分机构会为安全研究人员提供漏洞奖金,但没有具体的标准,当然还有更多政府机构压根就不提供漏洞奖金因此很少有研究人员会参与其中。
该计划暂时还在讨论阶段,不过俄罗斯数字发展部透露在俄罗斯联邦地区漏洞的奖金金额可达 30~50,000 卢布 (0.31 美元 / 2.21 人民币~511 美元 / 3,681 人民币)。
当然如果有些漏洞事关重大那么俄罗斯政府部门则可以提供更多漏洞奖金,最高漏洞奖金可以达到 100 万卢布 (10,222 美元 / 73,620 人民币)。
至于俄罗斯企业则不需要按照后续制定的标准进行,因为该标准仅适用于俄罗斯政府机构和州,企业依然可以按照自己的情况制定漏洞奖金标准。
俄罗斯通过制定这个计划应该有助于吸引更多安全研究人员的参与,毕竟以前是每个机构各自为政提供少量奖金或不提供奖金,现在则是强制性设定标准,至少安全研究人员不用担心拿不到奖金或者拿到的奖金太低。
最后还需要提到的是相对来说俄罗斯制定的价格标准与大型科技公司相比还是比较低的,这可能无法吸引更多国外研究人员参与,但俄罗斯本土安全研究人员应该会非常欢迎这个计划。