苹果发布首期漏洞赏金计划,最高奖20万美元
摘要:苹果安全工程师伊万·克里斯迪克(Ivan Krstic)在2016黑帽安全大会(Black Hat Security Conference)上宣布,苹果公司将于今年9月推出漏洞赏金计划,将为发现软件重大漏洞和缺陷的个人提供现金奖励。苹果的第一期漏洞赏金计划就将提供最高20万美元的奖励。
今年的黒客大会(Black Hat Conference)上,苹果(Apple)、卡巴斯基(Kaspersky)、松下(Panasonic)以及金融巨头万事达卡(MasterCard)公布了各自的漏洞赏金计划。苹果的第一期漏洞赏金计划就将提供最高20万美元的奖励。
苹果安全工程师伊万·克里斯迪克(Ivan Krstic)在2016黑帽安全大会(Black Hat Security Conference)上宣布,苹果公司将于今年9月推出漏洞赏金计划,将为发现软件重大漏洞和缺陷的个人提供现金奖励。最高奖励达到20万美金!
而相较于财大气粗的苹果公司,卡巴斯基更多是试探性的尝试。
8月2日,卡巴斯基在黑客大会上宣布漏洞赏金计划,第一期漏洞赏金将提供最高5万美金的奖励。卡巴斯基将于8月3日起与HackerOne(据说该平台有6000多个黑客)进行6个月的合作。
卡巴斯基全球研究分析团队美国分部部主任Ryan Naraine说
赏金计划增强了卡巴斯基的内部流程来评估软件,其中包括其在安全软件开发生命周期内的代码审查和审计。
高管态度
漏洞赏金计划这个项目是苹果整个安全计划中的第一阶段,将会有一些安全专家被邀请来参加这个计划。随着项目的成熟,整个苹果安全团队会逐渐熟悉来自外部的bug报告,届时我们将会向更多的安全研究员开放我们的漏洞赏金计划,乃至整个信息安全社区。
但是苹果发言人并没有透露示哪些安全专家会参与。
Ivan Krstic(苹果公司首席安全工程师、架构师)说
把绝大部分的致命漏洞找出来是很难的,为了奖励芸芸研究者花费的时间、精力以及富有创造力的发现(bug),苹果才设置这么庞大的奖金池。
Rich Mogull(苹果的分析师兼顾问公司Securosis CEO)表示,苹果公司做的每件事都经过深思熟虑:
注重质量,而不是数量。这就是苹果之道。如果你了解苹果,你会发现他们从企划到产品到售后服务都做得无可挑剔。我甚至认为苹果没有必要开启漏洞赏金计划,可能这会使苹果的产品更加安全。
下表是苹果在黑客大会上发布的漏洞/赏金表格。即便研究人员发现的bug没有出现在下表中,苹果也会酌情支付一些赏金。如果研究人员打算把获得的赏金用于慈善事业,那么苹果会将赏金翻倍。
Nice!这很苹果。
