你來(lái)找我茬，我來(lái)付你錢！世上竟有如此好事？

　　還真有。

      近期，谷歌新推出了一項(xiàng)漏洞賞金計(jì)劃。該計(jì)劃全稱為Open Source Software Vulnerability Rewards Program（以下簡(jiǎn)稱為OSS VRP），顧名思義，是一個(gè)針對(duì)開(kāi)源軟件發(fā)起的漏洞獎(jiǎng)勵(lì)項(xiàng)目。

      作為公認(rèn)的開(kāi)源貢獻(xiàn)大戶，谷歌是Bazel、Angular、Golang、Protocol buffers和Fuchsia等項(xiàng)目的主要維護(hù)者。這些項(xiàng)目應(yīng)用廣泛，像Go語(yǔ)言被大量用于云計(jì)算、微服務(wù)、高并發(fā)領(lǐng)域，而Fuchsia OS則為智能家居設(shè)備提供支持。因此，在這些項(xiàng)目中發(fā)現(xiàn)的“敏感”漏洞也最有可能獲得高額賞金。

　　除此之外，由谷歌管理并托管在GitHub等公共存儲(chǔ)庫(kù)上的其他項(xiàng)目，以及這些項(xiàng)目中包含的第三方依賴項(xiàng)也涵蓋在OSS VRP中。

　　針對(duì)那些在其開(kāi)源軟件或軟件構(gòu)建模塊中發(fā)現(xiàn)安全漏洞的研究人員，谷歌愿意為其提供賞金。根據(jù)漏洞的嚴(yán)重程度以及漏洞所在的項(xiàng)目的重要性，賞金從100美元到31337美元（約21.8萬(wàn)人民幣）不等。

　　那么，這類“漏洞賞金計(jì)劃”究竟是為何而設(shè)？這種“你找bug我付錢”的模式能起多大作用？成為一名漏洞獵手要考慮哪些因素？且看下文分解。

“漏洞賞金”背后是......

　　據(jù)悉，此次谷歌發(fā)布的漏洞賞金計(jì)劃，其實(shí)是為了應(yīng)對(duì)日益普遍的開(kāi)源供應(yīng)鏈攻擊的現(xiàn)實(shí)。

       谷歌員工Francis Perron和Krzysztof Kotowicz透露：“去年，針對(duì)開(kāi)源供應(yīng)鏈的攻擊同比增長(zhǎng)了650%，包括Codecov和Log4j漏洞等在內(nèi)，這些事件顯示了單個(gè)開(kāi)源漏洞的破壞性潛力?！?/p>

       以Log4j Java日志庫(kù)中的Log4Shell漏洞為例，去年12月爆發(fā)后造成了相當(dāng)廣泛的破壞，到目前為止，雖然出現(xiàn)了很多防御方法，但這一漏洞的影響至今都在。由于對(duì)Log4Shell的利用基本集中在廣泛部署的應(yīng)用程序上，可能有大量Java應(yīng)用程序受到Log4Shell不同程度的影響。就軟件供應(yīng)鏈現(xiàn)狀來(lái)說(shuō)，這一事件無(wú)異于一記警鐘。

　　為了加強(qiáng)軟件供應(yīng)鏈的安全性，谷歌在此次漏洞賞金計(jì)劃中希望白帽黑客們關(guān)注的是如下重點(diǎn)：

• 　　導(dǎo)致供應(yīng)鏈?zhǔn)軗p的安全漏洞；
• 　　導(dǎo)致產(chǎn)品漏洞的設(shè)計(jì)問(wèn)題；
• 　　其他安全問(wèn)題，例如泄露的憑據(jù)、弱密碼或不安全的安裝等。

　　值得關(guān)注的是，隨著針對(duì)Maven、NPM、PyPI和RubyGems的供應(yīng)鏈攻擊不斷升級(jí)，加強(qiáng)開(kāi)源組件，尤其是作為許多軟件構(gòu)建塊的第三方庫(kù)的安全性建設(shè)，已迫在眉睫。因此，第三方依賴項(xiàng)中的安全漏洞也在賞金計(jì)劃范圍內(nèi)，不過(guò)相關(guān)獎(jiǎng)勵(lì)也有前提——研究人員需將錯(cuò)誤報(bào)告首先發(fā)送給第三方項(xiàng)目的真正負(fù)責(zé)人，查看問(wèn)題是否能在上游得到解決，與此同時(shí)他們還需要證明該錯(cuò)誤的確影響到了谷歌的項(xiàng)目。

　　當(dāng)然，考慮到有意愿參與到這一賞金計(jì)劃的研究人員可能動(dòng)機(jī)不一，谷歌為那些對(duì)獎(jiǎng)金不感興趣的人也準(zhǔn)備了另外的選項(xiàng)，即以其名義將獎(jiǎng)金捐贈(zèng)給慈善機(jī)構(gòu)。

愿意掏錢的不止是巨頭們

　　于谷歌而言，其開(kāi)展“漏洞獎(jiǎng)金計(jì)劃”的歷史由來(lái)已久。

       近年來(lái)，OSS VRP是繼針對(duì)Linux內(nèi)核漏洞和Kubernetes逃逸漏洞獎(jiǎng)勵(lì)計(jì)劃后制定的又一重要漏洞獎(jiǎng)勵(lì)機(jī)制。此外，在獎(jiǎng)勵(lì)計(jì)劃的多年擴(kuò)展中，針對(duì)Chrome、Android和其他產(chǎn)品、項(xiàng)目的漏洞賞金也有其設(shè)置需求。據(jù)統(tǒng)計(jì)，僅就去年而言，谷歌為其各種獎(jiǎng)勵(lì)計(jì)劃，面向近700百名研究人員支付了870萬(wàn)美元。

　　而在2021-2022年度，微軟在漏洞賞金支付方面甚至超過(guò)了谷歌，達(dá)到了1370萬(wàn)美元。

　　回顧歷史可以發(fā)現(xiàn)，漏洞賞金計(jì)劃自2000年后開(kāi)始真正在互聯(lián)網(wǎng)世界嶄露頭角。此后很長(zhǎng)一段時(shí)間，主導(dǎo)這些計(jì)劃的都是互聯(lián)網(wǎng)巨頭和大型開(kāi)發(fā)項(xiàng)目。

　　2013年，谷歌為L(zhǎng)inux等開(kāi)源操作系統(tǒng)軟件的安全改進(jìn)提供了漏洞賞金；微軟和Facebook聯(lián)合發(fā)起了“互聯(lián)網(wǎng)漏洞賞金計(jì)劃”，向發(fā)現(xiàn)威脅整個(gè)互聯(lián)網(wǎng)穩(wěn)定性的安全漏洞的黑客支付巨額現(xiàn)金獎(jiǎng)勵(lì)。此外，微軟、谷歌、Facebook等也相繼建立了全年開(kāi)放的漏洞賞金機(jī)制。

　　隨著網(wǎng)絡(luò)安全形勢(shì)愈加嚴(yán)峻，威脅本身的復(fù)雜性漸次升級(jí)，諸如谷歌、微軟這樣的私人機(jī)構(gòu)愿意為此支付更高的漏洞賞金，同時(shí)，越來(lái)越多的公共機(jī)構(gòu)也開(kāi)始關(guān)注到漏洞賞金機(jī)制對(duì)防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的正面意義。

       2016年4月16日，美國(guó)國(guó)防部與漏洞賞金平臺(tái)HackerOne合作，啟動(dòng)了美國(guó)政府的第一個(gè)漏洞賞金計(jì)劃“Hack the Pentagon”，用于報(bào)告面向公眾的系統(tǒng)和應(yīng)用程序中的漏洞。短短一個(gè)月間，美國(guó)國(guó)防部為138份漏洞報(bào)告支付了7萬(wàn)多美金的賞金。這一舉動(dòng)無(wú)疑為更多的行業(yè)企業(yè)考慮漏洞賞金計(jì)劃釋放出了積極的信號(hào)。

水漲船高的行情

　　設(shè)置漏洞賞金本來(lái)無(wú)可厚非。

　　我們?nèi)粘９ぷ髦惺褂煤徒佑|到的軟件和服務(wù)都是由人類編寫(xiě)的，即使軟件本身沒(méi)有太大問(wèn)題，但開(kāi)發(fā)人員不可能預(yù)見(jiàn)到每一種可能性。在新的漏洞路徑被發(fā)現(xiàn)之前，我們能看到的都只是冰山一角。何況利益的誘惑永遠(yuǎn)是巨大的，不知名的“互聯(lián)網(wǎng)刺客”總在暗處窺視著每一個(gè)可能的漏洞，并為此不斷升級(jí)著威脅“武器”。

　　因此需要漏洞賞金計(jì)劃，聚眾之力來(lái)防患于未然。當(dāng)越來(lái)越多的企業(yè)和機(jī)構(gòu)愿意為高危漏洞設(shè)置賞金時(shí)，賞金的行情也一路水漲船高。漏洞賞金平臺(tái)HackerOne的數(shù)據(jù)顯示，一個(gè)嚴(yán)重漏洞的中位價(jià)值從2020年的2500美元上漲到了3000美元，而嚴(yán)重錯(cuò)誤的平均賞金增加了13%，高嚴(yán)重錯(cuò)誤的平均賞金增加了30%。

      今年2月，白帽黑客Jay Freeman發(fā)現(xiàn)了Optimism上的一個(gè)編碼漏洞。這個(gè)漏洞如果被利用，攻擊者可以無(wú)限復(fù)制以太幣，進(jìn)而造成無(wú)法估量的損失。幸而漏洞被Freeman及時(shí)發(fā)現(xiàn)并通知了以太坊，漏洞被修復(fù)之后，這位白帽黑客獲得了200萬(wàn)美元的獎(jiǎng)勵(lì)。

　　這一獎(jiǎng)勵(lì)高嗎？高。值嗎？不僅值，而且遠(yuǎn)遠(yuǎn)的物超所值。

貌似共贏模式下的陰影

　　表面看來(lái)，漏洞賞金計(jì)劃是典型的雙贏模式，但實(shí)際上，圍繞漏洞賞金計(jì)劃的爭(zhēng)議并不少見(jiàn)。

　　主要矛盾之一在于賞金設(shè)置無(wú)標(biāo)準(zhǔn)，浮動(dòng)均由企業(yè)主導(dǎo)，研究人員的權(quán)益得不到保障。自2020年開(kāi)始，就有研究人員指出，微軟正在大幅削減漏洞賞金的金額，最多的甚至縮水了90%。2021年11月，一位安全研究員就因微軟克扣自己應(yīng)得的漏洞賞金，公開(kāi)了一個(gè)影響廣泛的系統(tǒng)權(quán)限漏洞。

　　破解了WannaCry的傳奇黑客馬庫(kù)斯·哈欽斯曾公開(kāi)表示對(duì)微軟漏洞賞金的不滿，并在其博文中提出了一個(gè)靈魂拷問(wèn)：“你愿意以100萬(wàn)美元的價(jià)格將你的漏洞賣給政府，還是以低于最低工資的價(jià)格將其交給微軟？”

　　這種“搖擺”的懸賞方式也導(dǎo)致在今年微軟提高對(duì)高影響漏洞的懸賞力度后，有用戶馬上質(zhì)疑是不是微軟現(xiàn)在面對(duì)高危漏洞已經(jīng)力不從心，才需要依靠用戶完成對(duì)Bug的檢查工作。由此看來(lái)，失衡的利益天平背后是合作雙方信任基石的岌岌可危。

　　另外一個(gè)容易引起擔(dān)憂的問(wèn)題是監(jiān)守自盜。今年7月，外媒披露了一則消息，HackerOne的一名員工竊取了通過(guò)漏洞賞金平臺(tái)提交的漏洞報(bào)告，并將其泄露給受影響的客戶以牟取利益。

　　經(jīng)調(diào)查，該員工是為眾多客戶項(xiàng)目分類漏洞披露的工作人員之一，自4月4日至6月23日以來(lái)訪問(wèn)了該平臺(tái)，并聯(lián)系到了7名受影響客戶，通過(guò)化名進(jìn)行威脅和恐嚇，并成功收到了賞金。

　　雖然HackerOne很快解雇了這名員工，但這起事件也踩在了人們的隱憂上：如果你能掌握某個(gè)至關(guān)重要的bug，你更愿意提交bug修復(fù)漏洞來(lái)獲得公司“獎(jiǎng)勵(lì)”呢，還是利用bug直接“通吃”？當(dāng)利益足夠大時(shí)，人性或許并不那么經(jīng)得起考驗(yàn)。

你考慮成為漏洞獵手嗎

　　原則上，誰(shuí)發(fā)現(xiàn)漏洞并不重要，重要的是公司掌握它并在問(wèn)題爆發(fā)前解決問(wèn)題。在實(shí)踐中，漏洞賞金通常由專業(yè)安全研究人員獲取。這些專家找出bug后，要么獲得報(bào)酬，要么為公司進(jìn)行滲透測(cè)試。

　　而除了專業(yè)的安全研究人員之外，成為漏洞獵手的人通常各有各的專長(zhǎng)，也各有各的動(dòng)機(jī)。有人想多賺點(diǎn)錢，有人想建立名聲，還有些人或許只是興趣使然。如果你正在考慮或嘗試成為一名漏洞獵手，那么可以先了解以下幾點(diǎn)：

　　1、選擇靠譜的廠商或平臺(tái)。這是你一切的努力不打水漂的前提。

　　2、設(shè)定合適的目標(biāo)。打個(gè)比方，如果你以賺取賞金為目的，那么根據(jù)漏洞的嚴(yán)重程度以及其所在項(xiàng)目的影響力，不同漏洞的獎(jiǎng)勵(lì)數(shù)額會(huì)有很大差異。另外，大公司往往在安全方面有更多預(yù)算，小型企業(yè)或初創(chuàng)公司的出手可能就沒(méi)有那么寬裕，事先了解這一點(diǎn)更有利于設(shè)置合理的預(yù)期。

　　3、讓你提交的漏洞更容易被認(rèn)同。仔細(xì)揣摩一下公司設(shè)置問(wèn)題提交的模式和賞金支付的流程，通常來(lái)說(shuō)，正確的、符合規(guī)則的格式更能讓你提交的漏洞報(bào)告清晰、明了、更易接受。

　　4、如果你是個(gè)新入門的玩家，那么不妨從免費(fèi)項(xiàng)目開(kāi)始鍛煉對(duì)于漏洞的“觸覺(jué)”，這會(huì)讓你更快摸索出經(jīng)驗(yàn)和自己擅長(zhǎng)的領(lǐng)域。

　　5、世界上不乏獲得巨額賞金的案例，但那往往是百萬(wàn)分之一。如果你想以漏洞賞金謀生，那么你更有可能從通過(guò)滲透測(cè)試出現(xiàn)的常見(jiàn)小漏洞中獲得穩(wěn)定收入。

　　參考鏈接：

　　https://www.oschina.net/news/208582/googles-open-source-bug-bounty-program

　　https://www.theregister.com/2022/08/30/google_open_source_bug_bounty

　　https://www.theregister.com/2022/08/12/microsoft_bug_bounty

　　https://baijiahao.baidu.com/s?id=1732488474142803145

　　https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/

　　https://blog.csdn.net/weixin_26636643/article/details/108497096