[[437078]]

11月22日，DevOps平臺GitLab宣布已將關(guān)鍵漏洞賞金上調(diào)75%，承諾為關(guān)鍵問題支付2萬到3.5萬美元，并調(diào)高其他嚴(yán)重漏洞的獎金支付上限(調(diào)高50%)。

GitLab與其他多家公司一道，紛紛增加對研究人員發(fā)現(xiàn)并報告軟件漏洞的獎金。兩年來，微軟、谷歌和Atlassian全都調(diào)高了漏洞報告獎勵。GitLab安全副總裁Johnathan Hunt稱，隨著企業(yè)逐漸認(rèn)識到漏洞獎勵可以補充自身內(nèi)部安全計劃、削減風(fēng)險，并最終降低發(fā)現(xiàn)漏洞的成本，漏洞賞金市場日漸火熱。

Hunt表示：“這事兒是把雙刃劍。好的一面是我們可以改善我們的應(yīng)用安全;可以安全左移，在漏洞披露之前就發(fā)現(xiàn)它們。但也就是說，某種程度上也阻止了研究人員在我們的平臺上多花時間。”

因此，該公司增加了漏洞賞金。

漏洞賞金計劃的這種趨勢凸顯出公司必須在招募研究人員和采用漏洞預(yù)防工具與流程之間取得艱難平衡?？傮w上，研究人員對漏洞賞金計劃的興趣有所增長：漏洞賞金計劃管理公司HackerOne宣稱，2020年提交漏洞的研究人員數(shù)量較之上一年增加了63%。不過，成熟產(chǎn)品的安全漏洞通常更難以發(fā)現(xiàn)，尤其是可以帶來最高額賞金的關(guān)鍵漏洞。

隨著工具的不斷改進(jìn)和公司應(yīng)用安全狀態(tài)的不斷完善，最容易找到的漏洞(所謂“唾手可得的果實”)銷聲匿跡，只留下了難以發(fā)現(xiàn)的那些。眾包漏洞公司Bugcrowd創(chuàng)始人兼首席執(zhí)行官Casey Ellis稱，這意味著，隨著漏洞賞金計劃生態(tài)系統(tǒng)的成熟，維持研究人員的漏洞挖掘興趣需要更大筆的賞金。

他表示：“企業(yè)將漏洞獎勵定在某個水平，發(fā)現(xiàn)有效報告的速度開始減緩的時候，就意味著‘該畢業(yè)了’：是時候增加獎勵并進(jìn)入下一階段了。這么做可以將少量賞金吸引不來的黑客動員起來，而且可以有效激勵所有參與者更加投入。”

通過增加賞金，GitLab跟上了很多其他軟件公司的腳步。就在一年之前，微軟將其頂級Windows漏洞賞金調(diào)高到了10萬美元，為各類應(yīng)用和云服務(wù)投入了可觀的漏洞賞金。微軟運營著17個漏洞賞金計劃，截至2021年6月的一年間，共有341名研究人員提交了1261份有效漏洞報告，掙得1360萬美元。谷歌2020年的漏洞獎勵支出幾乎翻倍，共向662名研究人員支付了670萬美元，單個漏洞最高賞金達(dá)13.25萬美元。

2021年5月，Atlassian將其最高獎直接翻了一倍，核心云產(chǎn)品漏洞賞金高達(dá)1萬美元。作為GitLab和Atlassian Bitbucket的競爭者，GitHub為203個上報漏洞支付了超過52.4萬美元。GitLab的最高賞金目前比GitHub提到的多5000美元，但GitHub表示自己的策略是開放式，可以為特別嚴(yán)重的漏洞支付更多賞金。

GitLab安全副總裁Hunt稱，公司之間的競爭可能會加劇安全研究人員爭奪戰(zhàn)。

他表示：“通過提高獎勵，我們試圖提升我們漏洞獎勵計劃的吸引力、參與度和專注度。我們努力吸引全球各行各業(yè)的人才和技術(shù)集。老實說，現(xiàn)在想在我們平臺上找到漏洞確實是越來越難了。我們得到的反饋中包含了這一信息。”

GitLab等公司仍在完善吸引適格研究人員來分析自身平臺的策略。但為關(guān)鍵漏洞支付更多賞金未必就是那條要走的路。

Hunt稱：“以GitLab自身為例，我們可以將漏洞賞金提高到10萬美元，但每年都只能發(fā)現(xiàn)那么幾個，所以如果我們只是增加漏洞賞金，那我們可能也就是給兩個人支付大筆金錢。大多數(shù)人都抓不到P1級(優(yōu)先級別為1)漏洞，這么做會打消其他人參與到漏洞賞金計劃中來的積極性。我們要做的是全方位提高參與度。”

Bugcrowd創(chuàng)始人兼首席執(zhí)行官Ellis表示，此外，由于新軟件不斷推出和更新，漏洞永遠(yuǎn)不會枯竭。如今距離黑客Samy Kamkar在社交媒體服務(wù)MySpace中發(fā)現(xiàn)跨站腳本(XSS)漏洞已15年之久，但由于此類漏洞難以預(yù)防，開發(fā)人員又太容易犯這種錯，XSS很有可能成為主要問題。

Ellis稱，盡管“超級漏洞獵手”可能獲得最豐厚的賞金，但持續(xù)的漏洞發(fā)現(xiàn)者普遍存在，也將繼續(xù)有料可用。

“既有人專注復(fù)雜攻擊鏈和業(yè)務(wù)邏輯漏洞利用程序，也有人用不走尋常路的方式尋找更簡單的問題。真的需要很多人參與進(jìn)來。”