美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 主任 Jen Easterly 和國土安全部部長 Alejandro Mayorkas 宣布擴大其“Hack DHS”漏洞賞金計劃，現(xiàn)在與 Log4j 相關(guān)的漏洞也包含在此計劃中。

[[441931]]

Hack DHS 是美國國土安全部 (DHS)在12月14日推出的一項漏洞賞金計劃，旨在識別某些 DHS 系統(tǒng)中潛在的網(wǎng)絡(luò)安全漏洞，并提高該部的網(wǎng)絡(luò)安全性能。所有經(jīng)過審查的網(wǎng)絡(luò)安全研究人士，都可以受邀訪問特定的外部 DHS 系統(tǒng)，查找其中的漏洞并向 DHS 匯報，然后根據(jù)漏洞的重要性領(lǐng)取 500 ~ 5000 美金的報酬。有意思的是，一旦有黑客完成對 DHS 外部系統(tǒng)的漏洞評估，他就會被邀請去 DHS 參加現(xiàn)場直播的黑客事件，重現(xiàn)他們利用漏洞的過程。

看起來 Hack DHS 是一個相當靠譜的計劃：利用民間力量優(yōu)化政府系統(tǒng)的安全性和穩(wěn)定性，避免出現(xiàn)政府數(shù)據(jù)泄露的問題。值得一提的是，此計劃是一個長期計劃，預(yù)計在 2022 年分三個不同階段進行。它甚至有法可依：根據(jù)美國第115 屆國會公法 通過的 SECURE 技術(shù)法案，“國土安全局有權(quán)利為評估 DHS 安全性能問題的人支付報酬”。

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：Log4J 相關(guān)漏洞加入美國國土安全局 DHS 漏洞賞金計劃

本文地址：https://www.oschina.net/news/175277/hack-dhs-program-include-log4j