防止重复和重复漏洞赏金提交成本的增长

什么是重复提交？

在漏洞赏金行业中，重复提交指的是两名或更多研究人员报告了相同的问题或漏洞。当研究人员通过漏洞赏金平台（如Intigriti）识别漏洞并提交报告后，平台会进行审核。如果问题已被报告过，则会被标记为重复。

观察重复提交还可以显示研究人员在哪里发现了相同的漏洞，这可能表明漏洞的可发现性较高，因此可能是优先处理该问题的关键指标。

有时，重复提交可能被标记为“已接受的重复”，以承认虽然其他人首先报告了该漏洞，但该漏洞是有效的，并有助于识别系统、程序或环境中的真实漏洞。

一般来说，如果提交具有相同的根本代码原因，则可以标记为重复。如有疑问，可以问自己第一个报告的修复是否也会修复其他报告。如果需要应用两个修复（例如在两个不同的端点上），则提交不会被视为重复，因为一个修复不会防止第二个漏洞被发现。

——Inti De Ceukelaire，Intigriti首席黑客官

阅读《重复、相关或已知漏洞报告》以获取更多关于识别重复提交的研究技巧。

如前所述，重复提交是指黑客报告了一个漏洞，但该漏洞已被发现且仍在修复或正在补救过程中。这些被标记为“Dupes”并且不会获得奖励。

另一方面，重复漏洞是指黑客提交了一个请求，该提交已被修复，但随后又有人提交了相同的漏洞。这表明漏洞未被修复或再次被破坏。

以下是重复漏洞的两个例子：

IT安全团队已通知开发团队修复报告的漏洞，工作流票据已关闭，但部署并未修复问题。一段时间后，黑客再次利用该漏洞。
部署修复了报告的问题，但随后的另一个版本再次打开了风险。这种情况在每周有许多版本发布的大型组织中尤为常见。在这里，确保相同漏洞不再发生并跟踪其发生时间可能更加困难。

对组织而言，一个显著的成本是为多个被接受的重复和重复漏洞支付奖金。如果多名研究人员在同一时间段内提交相同的问题，可能导致为同一个漏洞支付多次奖金，从而引发挫败感。

我们最近的分析发现，平均有3%的程序报告漏洞是之前已处理但再次出现的。这给公司带来了成本，并使风险暴露于恶意攻击之下。我们一直在与研究人员社区和客户合作，提高重测采用率，以便客户对安全覆盖更有信心，并确保漏洞不再复发。

——Greg Jenkins，Intigriti产品负责人

重复提交不仅让企业感到挫败，研究人员在提交被标记为重复且没有解释时同样会感到气馁。

在没有适当解释或理由的情况下将提交标记为重复可能会导致研究人员转向其他程序。公平对待并与研究人员开放沟通将对您的程序产生长期的积极影响。

——Inti De Ceukelaire，Intigriti首席黑客官

Intigriti使用其最新的Dedupe AI模型分析了已关闭且假定已修复的报告的重复提交数量。目的是查看有多少提交已关闭但要么未被修复，要么漏洞再次出现。

这为重测打开了可能性。

提交重测指的是评估先前报告的漏洞以确定其是否已成功缓解和/或解决的过程。重测并非Intigriti独有，但团队的分析显示，平均有3%的提交（在某些情况下为8%）涉及再次出现的漏洞，这可能变得昂贵。

重测不能提供保证，但有助于确保您有一个安全流程，其中漏洞不会复发。毕竟，持续监控公司所有版本发布是非常困难的。

由于公司面临快速发展和创新以保持竞争力的压力，漏洞会再次出现。重测通过减少复发漏洞的成本提高了赏金效率，为初始黑客提供低努力的重测奖励，并确保对漏洞的持续保证。

——Greg Jenkins，Intigriti产品负责人

重测完全由研究人员自行决定，通常一旦修复被突出显示，会提供小额奖金。目前，近95%的重测请求已完成。

随着AI技术的进步，漏洞赏金计划将能够标记再次出现的漏洞，并提示客户在调查时开启重复重测。

您计划中最好的资源是拥有一批忠诚的研究人员，他们一次又一次地回来发现新的、更复杂的问题。

——Inti De Ceukelaire，Intigriti首席黑客官

如果您部署了修复但没有能力、专业知识或工具进行重测，Intigriti可以提供帮助。向研究人员请求重测，他们将检查漏洞是否仍然可重现和已解决。在此处阅读更多信息。

如有任何漏洞赏金问题，请联系Intigriti与团队成员交谈。

作者
Eleanor Barlow
高级网络安全技术作家