BountyGraph:众筹漏洞赏金与安全审计
Max Justicz
2018年8月1日
漏洞赏金与依赖关系
我刚推出了一个网站!BountyGraph基于这样一个理念构建:流行免费开源软件项目中的严重漏洞应当被:
- 发现
- 快速修复
- 并获得高额奖金
不幸的是,一些最高额的赏金是由那些有既得利益不愿及时修复漏洞(有时甚至完全不修复)的组织提供的。以Apache HTTP Server的漏洞为例,如果某公司公开宣传的价格表可信,一个有效漏洞利用最高可获得15万美元,前提是你同意将该漏洞打包出售给政府。Trend Micro ZDI支付丰厚,但他们在通知项目维护者之前会先向趋势科技客户发布每个漏洞的“保护过滤器”。如果你选择直接向维护者报告漏洞,互联网漏洞赏金计划可能只会提供3000美元奖励。
我希望建立一种漏洞报告机制,不给任何企业提供商业激励来向修复者隐瞒漏洞信息。并且希望有一天这个解决方案能够真正与私人漏洞经纪人竞争。
BountyGraph介绍
我的提议是:依赖某个软件安全性的组织能否轻松、具体地分配资金来帮助保持其安全性?这就是BountyGraph背后的理念。BountyGraph为免费开源软件依赖项提供众筹漏洞赏金和安全审计。
该网站运作方式如下:
[编辑:更新以反映变化]
- 免费开源软件项目注册BountyGraph并创建个人资料页面。
- 通过项目页面,项目可以从企业用户那里筹集漏洞赏金资金。还可以选择众筹由专业安全咨询公司进行的安全审计。
- 漏洞通过BountyGraph工单系统或通过电子邮件外部报告给项目。
- 一旦发布有效补丁,维护者分配严重性并将漏洞提交给BountyGraph进行验证。
- BountyGraph通知项目的资助组织,这些组织随后有机会向发现漏洞的黑客和修复漏洞的维护者支付赏金。
BountyGraph不会也不会通过我们平台上报告的任何漏洞信息获利。相反,我们在每笔赏金之上收取固定比例的費用。
在Facebook仅为影响其移动网站的XSS漏洞支付7500美元的世界里,我认为非常不幸的是,对世界上最常见依赖项的安全研究提供的经济激励如此之少。经常有数百万用户的组织依赖爱好者免费开发的软件的安全特性,但什么都不做来确保即使是最表面的漏洞也能被发现。当风险如此之高时,很明显我们不应该只是等待善意的黑客免费在依赖项中发现漏洞。
如果你在一家想要帮助缩小这个资金缺口的公司工作,或者如果你运行一个想要资助赏金计划或审计的FOSS项目,我希望你能考虑查看BountyGraph!
联系方式
Max Justicz
max@justi.cz
mastodon.mit.edu/@maxj
我会在仅几篇文章后就放弃这个博客吗?敬请关注并找出答案!