雖然Gartner沒(méi)有專門(mén)為漏洞賞金或眾包安全測(cè)試?yán)L制魔力象限，但Gartner Peer Insights列出了24家“應(yīng)用眾包測(cè)試服務(wù)”類供應(yīng)商。

如果想增強(qiáng)公司現(xiàn)有軟件測(cè)試武器庫(kù)，納入全球安全研究人員的知識(shí)和專業(yè)技能，那您不妨看看下列5個(gè)極具前景的漏洞賞金平臺(tái)。

1. HackerOne

網(wǎng)址：https://www.hackerone.com/

作為背后站著眾多著名風(fēng)險(xiǎn)資本家的獨(dú)角獸公司，HackerOne可能是全世界知名度最高、最受認(rèn)同的漏洞賞金品牌了。

其最近的年報(bào)顯示，超過(guò)1700家公司信任HackerOne平臺(tái)，放心依托HackerOne增強(qiáng)自身內(nèi)部應(yīng)用安全測(cè)試能力。報(bào)告還宣稱，HackerOne的安全研究人員僅2019年一年就掙到了約4000萬(wàn)美元賞金，累積賞金數(shù)額更是高達(dá)8200萬(wàn)美元。

HackerOne的名聲還來(lái)自于托管美國(guó)政府漏洞賞金計(jì)劃，包括美國(guó)國(guó)防部和美國(guó)陸軍的漏洞披露計(jì)劃。與其他一些漏洞賞金計(jì)劃和漏洞披露計(jì)劃(VDP)類似，HackerOne如今還提供依托全球資深安全研究人員的滲透測(cè)試服務(wù)。HackerOne的安全認(rèn)證十分完備，包括ISO 27001和FedRAMP授權(quán)。

2. BugCrowd

網(wǎng)址：https://www.bugcrowd.com/

網(wǎng)絡(luò)安全專家Casey Ellis創(chuàng)立的BugCrowd可能是最具創(chuàng)新性的漏洞賞金平臺(tái)了。BugCrowd不僅積極推動(dòng)傳統(tǒng)眾包安全測(cè)試服務(wù)，還倡導(dǎo)攻擊界面管理和針對(duì)物聯(lián)網(wǎng)、API甚至網(wǎng)絡(luò)的一系列滲透測(cè)試服務(wù)，在快速成長(zhǎng)的眾包安全市場(chǎng)上領(lǐng)先其他競(jìng)爭(zhēng)對(duì)手。BugCrowd還適度推廣各種軟件開(kāi)發(fā)生命周期(SDLC)集成功能，方便客戶高效整合和推動(dòng)DevSecOps工作流。

Amazon、VISA、eBay等行業(yè)巨頭，以及備受尊崇的(ISC)² 網(wǎng)絡(luò)安全教育協(xié)會(huì)都將漏洞賞金計(jì)劃交托給BugCrowd。很多安全研究新手也因BugCrowd大學(xué)、持續(xù)不斷的安全網(wǎng)絡(luò)研討會(huì)和培訓(xùn)而熟知BugCrowd。這個(gè)創(chuàng)新平臺(tái)將其客戶的研究人員有機(jī)結(jié)合了起來(lái)。

3. OpenBugBounty

網(wǎng)址：https://www.openbugbounty.org/

在我們的名單上，飛速發(fā)展的OpenBugBounty項(xiàng)目是僅有的一個(gè)非營(yíng)利性漏洞披露和漏洞賞金平臺(tái)。Alexa排名顯示，OpenBugBounty即將成功超越其絕大多數(shù)商業(yè)競(jìng)爭(zhēng)對(duì)手。

依托1200多個(gè)活躍漏洞賞金計(jì)劃，如果漏洞經(jīng)由非侵入式方法檢測(cè)，OpenBugBounty還允許在任意網(wǎng)站上協(xié)同披露這些漏洞。在OpenBugBounty上創(chuàng)建漏洞賞金計(jì)劃是完全免費(fèi)的，無(wú)需支付研究人員酬金，但鼓勵(lì)至少感謝研究人員的付出，并公開(kāi)推薦他們。

OpenBugBounty為奧地利電信A1和Drupal等公司托管漏洞賞金計(jì)劃，有2萬(wàn)多名安全研究人員投身其中，截至目前提交了近80萬(wàn)個(gè)安全漏洞。該平臺(tái)表示，其策略和披露流程遵循ISO 29147標(biāo)準(zhǔn)。

OpenBugBounty還與各國(guó)CERT(計(jì)算機(jī)應(yīng)急響應(yīng)小組)和執(zhí)法機(jī)構(gòu)合作，為他們提供免費(fèi)API接入平臺(tái)，同時(shí)在研究人員公開(kāi)披露其漏洞發(fā)現(xiàn)之前保密漏洞詳情。

4. SynAck

網(wǎng)址：https://www.synack.com/

背靠英特爾投資部和凱鵬華盈(Kleiner Perkins)等多家知名風(fēng)險(xiǎn)投資基金，2015年到2019年，SynAck四度蟬聯(lián)CNBC(美國(guó)消費(fèi)者新聞與商業(yè)頻道)“顛覆者”稱號(hào)。SynAck處于商業(yè)漏洞賞金平臺(tái)頂部，也入選了Gartner企業(yè)軟件初創(chuàng)公司Top 25。

SynAck由安全遠(yuǎn)見(jiàn)者、前美國(guó)國(guó)家安全機(jī)構(gòu)雇員Jay Kaplan和Mark Kuhr聯(lián)合創(chuàng)立，提供經(jīng)全面審核的網(wǎng)絡(luò)安全研究人員組成的精英團(tuán)隊(duì)“紅隊(duì)”(SRT)。SynAck表示，SRT小組的安全專家背景清晰，行業(yè)經(jīng)驗(yàn)豐富。

由于對(duì)紅隊(duì)成員進(jìn)行詳盡全面的盡職審查，并記錄其全部活動(dòng)供未來(lái)分析或?qū)徍?，SynAck成功躋身可信眾包安全測(cè)試服務(wù)領(lǐng)頭羊之列。而且，SynAck還與行業(yè)領(lǐng)導(dǎo)者建立了合作伙伴關(guān)系和技術(shù)聯(lián)盟，包括微軟、AWS和HPE，表現(xiàn)出了強(qiáng)勁的成長(zhǎng)潛力。

5. YesWeHack

網(wǎng)址：https://www.yeswehack.com/YesWeHack是2021年的新星。作為歐洲漏洞賞金和漏洞披露公司之一，YesWeHack成功吸引了注重嚴(yán)格隱私與保護(hù)數(shù)據(jù)防護(hù)的歐盟公司企業(yè)。最近，YesWeHack宣布2020年在亞洲錄得破紀(jì)錄的250%增長(zhǎng)率，證明了歐洲初創(chuàng)公司全球擴(kuò)張的能力。

與BugCrowd類似，YesWeHack也做好了投資人才的準(zhǔn)備。去年，YesWeHack啟動(dòng)培訓(xùn)項(xiàng)目，幫助漏洞賞金獵人借助YesWeHack DOJO平臺(tái)磨練黑客技術(shù)。該項(xiàng)目提供入門(mén)級(jí)課程和專注特定安全漏洞的培訓(xùn)關(guān)卡，以及施展身手的訓(xùn)練環(huán)境。

全世界的安全研究人員都可以借助DOJO平臺(tái)磨礪其軟件安全測(cè)試技術(shù)。最后，YesWeHack還展現(xiàn)了吸引法國(guó)OVH集團(tuán)等著名歐洲客戶的能力。

除了上述五大漏洞賞金平臺(tái)，市場(chǎng)上還有其他很多獨(dú)特而杰出的平臺(tái)，比如身為歐洲主流道德黑客網(wǎng)絡(luò)之一的Intigriti。

漏洞賞金計(jì)劃已開(kāi)始從純眾包安全測(cè)試向綜合網(wǎng)絡(luò)安全平臺(tái)轉(zhuǎn)型，提供經(jīng)典滲透測(cè)試和大量其他服務(wù)。我們目前很難預(yù)測(cè)漏洞賞金平臺(tái)相對(duì)于傳統(tǒng)托管安全服務(wù)提供商(MSSP)和網(wǎng)絡(luò)安全供應(yīng)商到底有多成功，但是，漏洞賞金無(wú)疑開(kāi)創(chuàng)了極具潛力的新型市場(chǎng)定位。

正如幾十年前開(kāi)源Linux撼動(dòng)微軟商業(yè)閉源操作系統(tǒng)，隨后誕生數(shù)十億美元Red Hat業(yè)務(wù)，開(kāi)放自由的OpenBugBounty項(xiàng)目正促進(jìn)漏洞賞金計(jì)劃不斷成熟。

這標(biāo)志著漏洞賞金市場(chǎng)在逐步壯大，變得更具競(jìng)爭(zhēng)力，越來(lái)越多的新玩家不斷投身其中。我們可以預(yù)計(jì)，未來(lái)將有更多風(fēng)險(xiǎn)資本加入，會(huì)出現(xiàn)更多并購(gòu)交易，推動(dòng)眾包安全市場(chǎng)繼續(xù)擴(kuò)張。