揭秘全球漏洞赏金平台生态:新增25个平台与技术解析

本文介绍了社区维护的全球漏洞赏金与漏洞披露平台(VDP)目录的重大更新,新增了25个平台,涵盖了Web3安全、区域化及专业化平台,并深入探讨了其技术架构与全球生态系统的多样性。

帮助我们一起绘制全球漏洞赏金生态系统地图

TL;DR: platforms.disclose.io 是我们社区维护的全球漏洞赏金和 VDP 平台目录,收录了 80 多个平台。我们刚刚新增了 25 个新平台,并且需要您的帮助来持续壮大它。

漏洞赏金生态系统规模庞大。它既奇特,又迷人。

这个生态系统覆盖了 40 多个国家,使用数十种语言。有专门针对 WordPress 插件的平台,有运行着 700 万美元 iPhone 漏洞利用赏金的平台,有研究人员在其中实时竞争进行智能合约审计竞赛的平台,有政府运营的平台,有开源平台,也有只服务于单个国家或地区的平台。

除非您真正深入研究,否则您可能不知道其中大多数平台的存在。

知名大厂之外的世界

请不要误解——那些主要的平台确实很出色。但全球漏洞赏金的图景远比大多数人意识到的要丰富得多。

  • 在俄罗斯,西方制裁导致一些平台退出后,Standoff 365 和 BI.ZONE 应运而生,为超过 20,000 名研究人员提供服务并托管政府项目。他们正在运行高达 680,000 美元的赏金计划。
  • 在 Web3 领域,像 Cantina、CodeHawks 和 CertiK 这样的平台正在开展竞争性的智能合约审计,研究人员争相寻找漏洞,这些项目管理者数千万美元的赏金。
  • 在 WordPress 安全领域,Patchstack 运行着世界上第一个覆盖所有 60,000 多个 WordPress 插件的漏洞赏金计划。
  • 对于美国各政府机构,CISA 运营着一个集中的 VDP 平台,帮助联邦机构遵守漏洞披露要求。

这样的例子不胜枚举:Cyber Army Indonesia(印度尼西亚)、WhiteHub(越南)、Cyber3ra(印度)、PatchDay(韩国)、补天(中国)、safehats(印度)、Teklabspace(尼日利亚)……

platforms.disclose.io:您的社区数据库

这就是我们维护 platforms.disclose.io 的原因——这是一个简单、开源的目录,收录了我们能找到的所有漏洞赏金、VDP 和众包安全平台。目前,我们正在追踪 80 多个平台,并标准化了以下信息:

  • 平台名称和 URL
  • 地理区域
  • 项目类型(公开、私有或两者兼有)
  • 排行榜和项目目录链接
  • 社交媒体账号

它保持供应商中立,由社区维护,并且完全开源。

我们刚刚新增了 25 个新平台

我们最新的更新包含了一些非常有趣的补充:

Web3/区块链安全:

  • Cantina(SpearbitDAO 的市场,赏金超过 3400 万美元)
  • CodeHawks(Cyfrin 的竞争性审计平台)
  • CertiK(为区块链项目提供零费用模式)
  • Remedy(采用零知识证明防止重复报告)
  • AuditOne(分配审计收入来资助赏金)
  • Hashlock(澳大利亚的区块链安全领导者)

区域平台:

  • Standoff 365 和 BI.ZONE(俄罗斯的主要平台)

  • PatchDay(韩国)

  • 补天(中国的先驱者,自 2013 年起)

  • Cyber3ra(印度)

  • BUGLOUD 和阿联酋国家漏洞赏金平台(中东)

专业化平台:

  • Patchstack(覆盖所有 60,000 多个 WordPress 插件)
  • CISA VDP 平台(美国联邦机构)
  • Crowdcurity(欧洲平台,评级前五)
  • Topcoder(安全挑战赛)
  • OWASP BLT/Bugheist(开源社区)

以及包括 Gerobug(开源自托管)、Hacckers(以色列)和 Bug Bounty Box(非洲)在内的其他几个平台。

我们需要您的帮助

这个数据库只有在全面且保持最新时才有用。这就需要您的参与:

知道我们遗漏的平台吗? 我们尤其对以下方面感兴趣:

  • 服务于本地市场的区域平台
  • 非洲、拉丁美洲、东南亚的新兴平台
  • 专业化平台(AI 安全、物联网、特定行业)
  • 新的 Web3 安全平台
  • 自托管或开源解决方案

发现过时的信息? 平台信息在不断变化:

  • URL 会更新
  • 社交媒体账号会变更
  • 排行榜会启动或迁移
  • 公司会重塑品牌或合并

如果您看到过时的信息,请告诉我们!

帮忙传播 了解这个资源的人越多越好。可以分享给:

  • 正在寻找新平台进行研究的研究人员
  • 正在评估平台选项的组织机构
  • 正在寻找本地替代方案的区域社区
  • 任何对全球安全生态系统感兴趣的人

如何贡献

非常简单: 在 GitHub 上: Fork 仓库,更新 Markdown 表格,提交一个 PR。就这么简单。

不熟悉 GitHub? 通过 Discord 给我们留言,在 Twitter 上标记我们 @disclose_io,或者发送电子邮件。

平台运营商: 希望被收录吗?我们欢迎提交申请——只需要确保您是一个合法的漏洞赏金/VDP/众包安全平台。

为何这很重要

当研究人员、组织和平台都能以透明和共享的标准运作时,漏洞披露才能发挥最佳效果。拥有一个全面、由社区维护的、记录这些工作发生地的目录,正是这种透明性的一部分。

无论您是想多元化拓展狩猎领域的研究人员,试图了解各种选项的组织,还是仅仅对全球生态系统如何发展壮大感到着迷的人,platforms.disclose.io 都是您的起点。

并且,每当有人贡献时,它都会变得更好。

查看详情: platforms.disclose.io 参与贡献: GitHub 仓库 有问题? 加入我们的 Discord 或在 Twitter @disclose_io 上联系我们。

让我们一起来绘制这张地图。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次