蘋果發佈首期漏洞賞金計劃,最高獎20萬美元
摘要:蘋果安全工程師伊萬·克里斯迪克(Ivan Krstic)在2016黑帽安全大會(Black Hat Security Conference)上宣佈,蘋果公司將於今年9月推出漏洞賞金計劃,將爲發現軟件重大漏洞和缺陷的個人提供現金獎勵。蘋果的第一期漏洞賞金計劃就將提供最高20萬美元的獎勵。
今年的黒客大會(Black Hat Conference)上,蘋果(Apple)、卡巴斯基(Kaspersky)、松下(Panasonic)以及金融巨頭萬事達卡(MasterCard)公佈了各自的漏洞賞金計劃。蘋果的第一期漏洞賞金計劃就將提供最高20萬美元的獎勵。
蘋果安全工程師伊萬·克里斯迪克(Ivan Krstic)在2016黑帽安全大會(Black Hat Security Conference)上宣佈,蘋果公司將於今年9月推出漏洞賞金計劃,將爲發現軟件重大漏洞和缺陷的個人提供現金獎勵。最高獎勵達到20萬美金!
而相較於財大氣粗的蘋果公司,卡巴斯基更多是試探性的嘗試。
8月2日,卡巴斯基在黑客大會上宣佈漏洞賞金計劃,第一期漏洞賞金將提供最高5萬美金的獎勵。卡巴斯基將於8月3日起與HackerOne(據說該平臺有6000多個黑客)進行6個月的合作。
卡巴斯基全球研究分析團隊美國分部部主任Ryan Naraine說
賞金計劃增強了卡巴斯基的內部流程來評估軟件,其中包括其在安全軟件開發生命週期內的代碼審查和審計。
高管態度
漏洞賞金計劃這個項目是蘋果整個安全計劃中的第一階段,將會有一些安全專家被邀請來參加這個計劃。隨着項目的成熟,整個蘋果安全團隊會逐漸熟悉來自外部的bug報告,屆時我們將會向更多的安全研究員開放我們的漏洞賞金計劃,乃至整個信息安全社區。
但是蘋果發言人並沒有透露示哪些安全專家會參與。
Ivan Krstic(蘋果公司首席安全工程師、架構師)說
把絕大部分的致命漏洞找出來是很難的,爲了獎勵芸芸研究者花費的時間、精力以及富有創造力的發現(bug),蘋果才設置這麼龐大的獎金池。
Rich Mogull(蘋果的分析師兼顧問公司Securosis CEO)表示,蘋果公司做的每件事都經過深思熟慮:
注重質量,而不是數量。這就是蘋果之道。如果你瞭解蘋果,你會發現他們從企劃到產品到售後服務都做得無可挑剔。我甚至認爲蘋果沒有必要開啓漏洞賞金計劃,可能這會使蘋果的產品更加安全。
下表是蘋果在黑客大會上發佈的漏洞/賞金錶格。即便研究人員發現的bug沒有出現在下表中,蘋果也會酌情支付一些賞金。如果研究人員打算把獲得的賞金用於慈善事業,那麼蘋果會將賞金翻倍。
Nice!這很蘋果。
