DevOps平臺(tái)GitLab宣布已將關(guān)鍵漏洞賞金上調(diào)75%，承諾為關(guān)鍵問(wèn)題支付2萬(wàn)到3.5萬(wàn)美元，并調(diào)高其他嚴(yán)重漏洞的獎(jiǎng)金支付上限(調(diào)高50%)。

GitLab與其他多家公司一道，紛紛增加對(duì)研究人員發(fā)現(xiàn)并報(bào)告軟件漏洞的獎(jiǎng)金。兩年來(lái)，微軟、谷歌和Atlassian全都調(diào)高了漏洞報(bào)告獎(jiǎng)勵(lì)。GitLab安全副總裁Johnathan Hunt稱，隨著企業(yè)逐漸認(rèn)識(shí)到漏洞獎(jiǎng)勵(lì)可以補(bǔ)充自身內(nèi)部安全計(jì)劃、削減風(fēng)險(xiǎn)，并最終降低發(fā)現(xiàn)漏洞的成本，漏洞賞金市場(chǎng)日漸火熱。

Hunt表示：“這事兒是把雙刃劍。好的一面是我們可以改善我們的應(yīng)用安全;可以安全左移，在漏洞披露之前就發(fā)現(xiàn)它們。但也就是說(shuō)，某種程度上也阻止了研究人員在我們的平臺(tái)上多花時(shí)間。”

因此，該公司增加了漏洞賞金。

漏洞賞金計(jì)劃的這種趨勢(shì)凸顯出公司必須在招募研究人員和采用漏洞預(yù)防工具與流程之間取得艱難平衡。總體上，研究人員對(duì)漏洞賞金計(jì)劃的興趣有所增長(zhǎng)：漏洞賞金計(jì)劃管理公司HackerOne宣稱，2020年提交漏洞的研究人員數(shù)量較之上一年增加了63%。不過(guò)，成熟產(chǎn)品的安全漏洞通常更難以發(fā)現(xiàn)，尤其是可以帶來(lái)最高額賞金的關(guān)鍵漏洞。

隨著工具的不斷改進(jìn)和公司應(yīng)用安全狀態(tài)的不斷完善，最容易找到的漏洞(所謂“唾手可得的果實(shí)”)銷聲匿跡，只留下了難以發(fā)現(xiàn)的那些。眾包漏洞公司Bugcrowd創(chuàng)始人兼首席執(zhí)行官Casey Ellis稱，這意味著，隨著漏洞賞金計(jì)劃生態(tài)系統(tǒng)的成熟，維持研究人員的漏洞挖掘興趣需要更大筆的賞金。

他表示：“企業(yè)將漏洞獎(jiǎng)勵(lì)定在某個(gè)水平，發(fā)現(xiàn)有效報(bào)告的速度開(kāi)始減緩的時(shí)候，就意味著‘該畢業(yè)了’：是時(shí)候增加獎(jiǎng)勵(lì)并進(jìn)入下一階段了。這么做可以將少量賞金吸引不來(lái)的黑客動(dòng)員起來(lái)，而且可以有效激勵(lì)所有參與者更加投入。”

通過(guò)增加賞金，GitLab跟上了很多其他軟件公司的腳步。就在一年之前，微軟將其頂級(jí)Windows漏洞賞金調(diào)高到了10萬(wàn)美元，為各類應(yīng)用和云服務(wù)投入了可觀的漏洞賞金。微軟運(yùn)營(yíng)著17個(gè)漏洞賞金計(jì)劃，截至2021年6月的一年間，共有341名研究人員提交了1261份有效漏洞報(bào)告，掙得1360萬(wàn)美元。谷歌2020年的漏洞獎(jiǎng)勵(lì)支出幾乎翻倍，共向662名研究人員支付了670萬(wàn)美元，單個(gè)漏洞最高賞金達(dá)13.25萬(wàn)美元。

2021年5月，Atlassian將其最高獎(jiǎng)直接翻了一倍，核心云產(chǎn)品漏洞賞金高達(dá)1萬(wàn)美元。作為GitLab和Atlassian Bitbucket的競(jìng)爭(zhēng)者，GitHub為203個(gè)上報(bào)漏洞支付了超過(guò)52.4萬(wàn)美元。GitLab的最高賞金目前比GitHub提到的多5000美元，但GitHub表示自己的策略是開(kāi)放式，可以為特別嚴(yán)重的漏洞支付更多賞金。

GitLab安全副總裁Hunt稱，公司之間的競(jìng)爭(zhēng)可能會(huì)加劇安全研究人員爭(zhēng)奪戰(zhàn)。

他表示：“通過(guò)提高獎(jiǎng)勵(lì)，我們?cè)噲D提升我們漏洞獎(jiǎng)勵(lì)計(jì)劃的吸引力、參與度和專注度。我們努力吸引全球各行各業(yè)的人才和技術(shù)集。老實(shí)說(shuō)，現(xiàn)在想在我們平臺(tái)上找到漏洞確實(shí)是越來(lái)越難了。我們得到的反饋中包含了這一信息。”

GitLab等公司仍在完善吸引適格研究人員來(lái)分析自身平臺(tái)的策略。但為關(guān)鍵漏洞支付更多賞金未必就是那條要走的路。

Hunt稱：“以GitLab自身為例，我們可以將漏洞賞金提高到10萬(wàn)美元，但每年都只能發(fā)現(xiàn)那么幾個(gè)，所以如果我們只是增加漏洞賞金，那我們可能也就是給兩個(gè)人支付大筆金錢(qián)。大多數(shù)人都抓不到P1級(jí)(優(yōu)先級(jí)別為1)漏洞，這么做會(huì)打消其他人參與到漏洞賞金計(jì)劃中來(lái)的積極性。我們要做的是全方位提高參與度。”

Bugcrowd創(chuàng)始人兼首席執(zhí)行官Ellis表示，此外，由于新軟件不斷推出和更新，漏洞永遠(yuǎn)不會(huì)枯竭。如今距離黑客Samy Kamkar在社交媒體服務(wù)MySpace中發(fā)現(xiàn)跨站腳本(XSS)漏洞已15年之久，但由于此類漏洞難以預(yù)防，開(kāi)發(fā)人員又太容易犯這種錯(cuò)，XSS很有可能成為主要問(wèn)題。

Ellis稱，盡管“超級(jí)漏洞獵手”可能獲得最豐厚的賞金，但持續(xù)的漏洞發(fā)現(xiàn)者普遍存在，也將繼續(xù)有料可用。

“既有人專注復(fù)雜攻擊鏈和業(yè)務(wù)邏輯漏洞利用程序，也有人用不走尋常路的方式尋找更簡(jiǎn)單的問(wèn)題。真的需要很多人參與進(jìn)來(lái)。”