隨著網(wǎng)絡(luò)空間犯罪和重大入侵事件的頻繁出現(xiàn)，找到應(yīng)用層漏洞的重要性逐漸凸現(xiàn)。開發(fā)人員與企業(yè)會在開發(fā)階段，不斷地檢查代碼以提升健全性。盡管這樣，完全沒有漏洞的應(yīng)用程序是不存在的。因此，外部的審查機制成為剛需。

漏洞懸賞也稱為漏洞獎勵，這種機制可以把全世界的的白帽黑客、安全研究人員和安全愛好者聚合在一起，共同為企業(yè)產(chǎn)品或服務(wù)挖掘漏洞。下面是安全牛整理的2015年最值得關(guān)注的漏洞獎勵計劃：

1. 戰(zhàn)斗黑客2015(Battlehack 2015)

[[128190]]

平臺語言：C++、JavaScript或Node.js

獎勵金額：10萬美元(一等獎)，Xbox One(二等獎)，Adafruit ARDX(三等獎)

“戰(zhàn)斗黑客”堪稱年度最具誘惑力的漏洞獎勵賽事，它將在全球10座大都市巡回舉行。此次賽事由貝寶、推特、腦樹(Braintree)等科技巨頭贊助。一等獎獲得者將得到10萬美元的獎金和“終極黑客”的頭銜。

貝寶強調(diào)要為全世界各地的開發(fā)人員提供一個中心舞臺，并為參賽人員提供額外的福利。包括飲食、啤酒茶歇、甚至是睡懶覺用的小隔間。最重要的是，戰(zhàn)斗黑客的參賽人員可以保留他們所開發(fā)的任何軟件的所有權(quán)。

2. 臉譜白帽子計劃

平臺語言：C++、PHP、D、Java、Python(服務(wù)端);JavaScript(客戶端)

獎勵金額：最低500美元，上不封頂

這個世界最大的社交媒體平臺一直都對研究人員和白帽子偏愛有加。臉譜上有著上億用戶的個人信息和媒體文件，一直都是惡意黑客眼中的暴利之源。為了有效的防范入侵，臉譜獎勵那些發(fā)現(xiàn)并提交安全問題的個人。2014年，臉譜共發(fā)放漏洞賞金130萬美元。

臉譜設(shè)有專門的漏洞獎勵團(tuán)隊來處理用戶提交的內(nèi)容，研究人員只需提交漏洞然后坐等漏洞獎勵團(tuán)隊的回復(fù)。最低的獎勵為500美元，而且不設(shè)上限。獎金額度由漏洞的嚴(yán)重性來決定，臉譜的漏洞賞金(Bug Bounty)頁面會展示這些提交的漏洞。#p#

3. 谷歌漏洞獎勵計劃(VRP)

[[128191]]

平臺語言：C++、Java、Python、Go(服務(wù)端);JavaScript、Flash(客戶端)

獎勵金額：最低100美元，最高2萬美元。

谷歌是當(dāng)今網(wǎng)絡(luò)上最具統(tǒng)治力的互聯(lián)網(wǎng)公司。它從當(dāng)初一個簡單的搜索引擎進(jìn)化成為現(xiàn)在的一個各種媒介的綜合體，它的觸角遍及每個家庭和每臺移動設(shè)備。這種前所未有的規(guī)模也造成了它無所不在的安全風(fēng)險。

谷歌最關(guān)注的漏洞類型有SQL注入、跨站腳本、跨站請求偽造和遠(yuǎn)程代碼執(zhí)行。發(fā)現(xiàn)這些漏洞的研究人員，將獲得谷歌安全團(tuán)隊的充分認(rèn)可并進(jìn)入谷歌名人堂。2014年，谷歌共發(fā)放漏洞賞金150萬美元。

4. 雅虎漏洞賞金計劃

[[128192]]

平臺語言：JavaScript、PHP(服務(wù)端);JavaScript(客戶端)

獎勵金額：最低100美元，最高2萬美元

如同臉譜，雅虎也有著自己處理白帽子黑客和安全研究人員提交漏洞報告的安全團(tuán)隊。提交的漏洞需要與雅虎和Flickr的應(yīng)用程序相關(guān)。目前已發(fā)過的獎勵最低為50美元，最高為1.5萬美元。

雅虎的安全團(tuán)隊對合法的漏洞提交的響應(yīng)時間為30個工作日，漏洞類型分為SQL注入、跨站腳本、跨站請求偽造、目錄遍歷、遠(yuǎn)程代碼執(zhí)行、信息泄露和內(nèi)容欺騙(Content Spoofing)。#p#

5. Mozilla漏洞賞金

[[128193]]

平臺語言：C++、JavaScript、C、CSS、XUL、XBL

獎勵金額：最低500美元，最高3000美元

全球最流行的火狐瀏覽器的所有者M(jìn)ozilla，也已經(jīng)實施了漏洞獎勵計劃。獎金發(fā)放范圍基本為Mozilla的產(chǎn)品，如火狐、雷鳥和其他相關(guān)應(yīng)用及服務(wù)，第三方插件和擴(kuò)展不在賞金計劃之內(nèi)。

6. WordPress安全漏洞賞金計劃

平臺語言：PHP、MySQL

獎勵金額：最低100美元，最高1000美元

由于友好的功能和彈性定制能力，WordPress近年來已經(jīng)成為世界上最普及的內(nèi)容管理系統(tǒng)之一。但其大量的第三方插件的使用，同樣也使它成為一個極具安全風(fēng)險的平臺，尤其當(dāng)許多網(wǎng)站并沒有及時更新官方補丁的情況下。

WordPress的安全漏洞賞金額度從影響較小漏洞的100美元，到嚴(yán)重漏洞的1000美元。不僅如此，WordPress還為第三方插件的漏洞報告提供獎金，額度為125到250美元。#p#

7. Chromium計劃

[[128194]] 

平臺語言：C++

獎金額度：最低500美元，最高1.5萬美元

Chrome獎勵計劃始于2010年1月，它按照漏洞嚴(yán)重程度和公眾對白帽黑客所做工作的認(rèn)可度發(fā)放獎金。當(dāng)然，漏洞需與Chrome瀏覽器或Chrome操作系統(tǒng)相關(guān)。

獎金額度從500美元至1.5萬美元，同時鼓勵對Windows 8及以上版本、Windows XP和Vista的研究和分析，當(dāng)然獎金可能會少一點。

8. 三星智能電視安全賞金計劃

平臺語言：Tizen，安卓

獎金額度：最低500美元，最高3000美元

作為世界領(lǐng)先的物聯(lián)網(wǎng)電視生產(chǎn)商，三星的產(chǎn)品也需要不斷的進(jìn)行安全檢測，以減少惡意黑客入侵的風(fēng)險。除了獎金以外，三星也為提交漏洞的研究人員建立了名人堂，以培養(yǎng)新的漏洞挖掘文化。#p#

9. Avast漏洞賞金計劃

[[128195]]

平臺語言：C++

獎金額度：400-10000美元

Avast是一家業(yè)界知名的防病毒廠商，但盡管這樣，他們的產(chǎn)品也不能“百毒不侵”。

遠(yuǎn)程代碼執(zhí)行被Avast定義為最嚴(yán)重的漏洞類型，可拿到10000美元甚至更多的獎勵。此外，Avast還鼓勵研究人員找到利用DoS攻擊令A(yù)vastSvc.exe進(jìn)程崩潰的方法。比較特殊的是，Avast漏洞賞金計劃不接受來自伊朗、敘利亞、古巴、朝鮮和蘇丹等國家的漏洞提交。

10. 微軟-在線服務(wù)漏洞賞金計劃

平臺語言：ASP.NET

獎金額度：最低500美元

微軟最新的漏洞賞金計劃官方伊始于2014年9月23日，只針對在線服務(wù)。這些在線服務(wù)的域名包括，Portal.office.com/outlook.com/lync.com/graph.windows.net等。

漏洞類型包括XSS/CSRF，提權(quán)注入和認(rèn)證漏洞。微軟至今為止已發(fā)出30萬美元的獎金。#p#

11. GitHub安全漏洞賞金

平臺語言：Ruby

獎金額度：最低100美元，最高5000美元

GitHub是世界上最大的代碼托管服務(wù)社區(qū)。當(dāng)前擁有340萬用戶，1600萬個代碼條目。因此，GitHub開展它的漏洞獎勵計劃并不令人意外。

12. 阿里巴巴集團(tuán)漏洞獎勵計劃

[[128196]]

平臺語言：PHP、Python、JAVA、Javascript、C++

獎金額度：最高10萬元

阿里巴巴集團(tuán)一直致力于建設(shè)誠信、共贏、繁榮的電子商務(wù)產(chǎn)業(yè)生態(tài)圈，其中安全是其健康成長的核心要素。因此阿里巴巴集團(tuán)成立安全應(yīng)急響應(yīng)中心(ASRC)，與國內(nèi)外安全專家合作共建阿里生態(tài)安全，以保障阿里巴巴集團(tuán)數(shù)以億計用戶的安全。

ASRC通過“漏洞獎勵計劃”回饋各位白帽子安全專家。獎勵除了常規(guī)的積分禮品兌換以外，在2014年初率先推出“阿里安全500萬現(xiàn)金獎勵計劃”，獎勵最高為10萬元現(xiàn)金。#p#

13. 百度(BSRC)

[[128197]]

平臺語言：C++、PHP、Python、JAVA、Javascript

百度的漏洞響應(yīng)平臺(BSRC)通過社區(qū)的力量來完善自己的安全建設(shè)，通過和外界的積極交流獲得更及時和全面的安全信息，對自身安全建設(shè)的疏漏點進(jìn)行查漏補缺，使自身的安全能力得到更好的提高。

目前平臺根據(jù)漏洞類型及造成的影響對漏洞進(jìn)行綜合評分，且不定期的針對白帽子開展多倍積分獎勵。此外，BSRC計劃在2015年舉辦多次聚焦某個安全領(lǐng)域的安全專題沙龍。

14. 京東(JSRC)

[[128198]]

平臺語言：C++、PHP、Python、JAVA、Javascript

獎金額度：最高3萬元

京東安全應(yīng)急響應(yīng)中心平臺(JSRC)自2014年以來，入駐白帽安全專家100多名，收到高質(zhì)量漏洞300多個。并于2015年1月開展了四倍積分獎勵活動，與安全愛好者建立了友好的合作關(guān)系。

原文地址：http://www.aqniu.com/news/6677.html