【51CTO.com快譯】1Password最近已經將其***bug賞金由原先的2萬5千美元提高至10萬美元，此次提價自然是為了進一步激勵安全研究人員。另外，谷歌公司去年則為其bug賞金計劃總計支付達300萬美元。

但是，這些數字到底是如何確定的?

Bugcrowd公司運營副總裁David Baker認為，如此可觀的金額意味著企業(yè)已經開始認真考慮安全漏洞在市場上的實際價值。

[[186114]]

“一個bug到底價值幾何?”這無疑是眾包安全測試當中最為常見的問題所在，他表示。

“答案雖然隨著bug賞金項目的逐步成熟而快速演變，但此類項目獲得成功的關鍵所在卻從未改變——即利用合適的激勵金額敦促研究人員進行工作。然而，大多數企業(yè)并不太清楚決定賞金具體金額的各類復雜性因素，”Bakers指出。

為了解決這個問題，Baker分享了他在制定bug賞金計劃時總結出的一些經驗，包括如何及何時提高賞金額度，以及企業(yè)該如何充分利用自己的賞金項目。

· 千里之行，始于足下: 在對項目進行初步定義時，必須強調獲取成功的重要性。首先，至少應明確告知研究人員應該測試什么、不該測試什么——這對于獲取理想結果而言至關重要。另外，這種明確的區(qū)間劃分也能夠有效控制賞金額度。畢竟作為發(fā)起者，企業(yè)有必要了解特定漏洞可能帶來的損失水平，并據此考慮設置怎樣的獎金。

· 定義bug的實際價值: 這是企業(yè)在制定項目成功標準時最需要回答的重要問題之一，而具體答案則取決于企業(yè)自身的目標乃至安全團隊規(guī)模。隨著越來越多的企業(yè)將其業(yè)務及安全目標同眾包安全計劃聯(lián)系起來，我們發(fā)現研究人員參與其中的動機與活躍性皆呈現上升趨勢。通過仔細了解并評估潛在漏洞對業(yè)務的影響，同時比較市場中的過往案例，企業(yè)能夠更準確地定義何時哪些特定bug最為重要(事實上，bug的重要度確實會不斷變化)。

· 選擇合適的時間與價格: 企業(yè)的安全成熟度決定著bug的實際價位。毫無疑問，安全成熟度高的企業(yè)往往更關注安全流程，因此需要投入更多時間與精力才能找到被其遺漏的bug。在這類項目中，大家***立足優(yōu)先級制定賞金計劃，但請記住，要給出與付出相符的回報。

· 建立具有競爭力的項目: 目前，bug賞金市場正在快速增長，并導致各項目之間存在激烈的競爭。如果缺少適當的引導，不少企業(yè)的項目會缺乏競爭力并導致吸引不到出色的研究人員。除了現金獎勵，我們還應考慮大力宣傳并發(fā)布有趣的目標——因為人才也樂于將自己的發(fā)現公諸于眾。這不僅能夠肯定其技能或者知識水平，幫助其所帶領的團隊及用戶了解如何發(fā)現bug，同時也能夠為個人提供良好的就業(yè)機遇及社區(qū)影響力。

· 營銷的力量: 另外，不要忽視bug賞金項目對于企業(yè)自身的營銷效果。不少企業(yè)利用其bug賞金計劃作為展示自身安全水平的機會。提高獎勵額度亦能夠證明您一直在認真對待企業(yè)自身及客戶的安全保障工作。

原文標題：How much is a bug worth?   原文作者：Ryan Francis

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】