如何确定漏洞赏金的合理金额？

不确定应该为报告的漏洞支付多少奖励？我们分析了640多个跨行业漏洞赏金项目，帮助您做出明智决策。公平奖励安全研究员——立即尝试我们的漏洞赏金计算器！

行业标准、基准测试和计算器

虽然网络安全领域的许多人都熟悉CVSS（通用漏洞评分系统）——一个用于计算网络安全漏洞严重性的开放框架，但该框架已有多个版本和适配。最新版本（4.0）旨在评估跨多个环境和维度的安全漏洞严重性，包括可利用性、影响、范围等，并为所述漏洞提供数值评分（0.0至10.0）。每个分数对应一个严重性标签（无、低、中、高和严重），并据此设定奖励金额。

在漏洞赏金中使用CVSS可以标准化漏洞严重性评估，这意味着减少支付偏差，特别是在收到多个提交时。这也意味着赏金与风险保持一致，并提供了为什么赏金值“x”而不是“y”的理由。

诸如Intigriti的漏洞赏金计算器可以自动化此过程，并向您展示各严重性级别的支付情况。

其他元素可用于补充CVSS，例如利用预测评分系统（EPSS），可用于预测漏洞被利用的概率。这可以补充CVSS v4.0，因为它识别最可能被针对的理论漏洞，这意味着团队可以进一步优先处理他们的工作。

启用弹性赏金

考虑到这一点，设定最低和最高支付金额以覆盖严重性级别。为什么？因为并非所有资产都相等，需要赏金分层系统来确保为业务关键目标支付更高的赏金。通过设定最低和最高范围，研究员了解潜在报酬，同时您保持灵活性，根据资产或可利用深度进行公平奖励。

“更先进的方法是范围赏金，允许项目编辑为每个严重性级别定义最低和最高赏金金额。此范围支持更精细的奖励系统。提交的严重性映射到CVSS分数，进而决定设定范围内的可能赏金。如果需要，项目成员可以手动覆盖严重性级别，并且在无CVSS分数可用的情况下，将使用最低范围金额。”——范围赏金

当研究员以新方式在复杂系统中发现关键或特殊漏洞时，可以使用自定义赏金来表彰出色工作。这还可以激励其他研究员，因为它表明，虽然存在上限，但公司愿意奖励创新研究并具备这样做的财务能力。

为什么财务范围对研究员重要？设定更高基准有帮助吗？

大多数研究员受经济收益驱动。虽然许多其他因素可能激励研究员，例如认可、慈善或仅仅是挑战的刺激，但经济收益是首要因素。这意味着他们重视公平和可预测的奖励、支付的透明度以及高努力度的认可。

当预算紧张时，设定更高赏金通常是一个艰难决定。但这可以在ROSI方面显著回报，因为您的项目会吸引更多有才华的研究员。请记住，在网络安全中，预防总是比处理更具成本效益。

“更高层级的奖励有助于激励研究员投入时间到这些更复杂或更坚固的目标。许多项目所有者将新添加的范围从第3、4或5层开始，然后随着其成熟和易发现漏洞的解决，将其移至更高层级。”——赏金层级

有才华的研究员更倾向于优先考虑设定更高奖励结构并公平竞争其时间和技能的项目。组织不仅从更深层次的测试中受益，还从更有价值的发现和更强的安全态势中获益。此外，如果研究员知道在您的平台上狩猎可以期待什么，并能看到对其工作的快速公平响应，他们更可能参与您的项目并尝试寻找更复杂的漏洞。

为在市场中保持竞争力，请向您的客户成功经理索取行业比较，了解实时平均值，以便您的项目长期保持吸引力和有效性。

随成长而调整

成功的赏金项目系统性地奖励发现的漏洞严重性和研究员的努力，确保公平一致的补偿。基准范围并根据影响进行微调。不要害怕在项目发展过程中进行调整。最好每六到十二个月审查一次结构，查看赏金是否需要更改。

增强漏洞赏金之旅的后续步骤

有关本文任何要点的更多信息，请立即联系团队。请密切关注我们的下一篇博客，我们将剖析向我们团队提出的另一个热门问题！

• 对特定主题感兴趣？通过发送邮件至pr@intigriti.com向我们提出您希望得到解答的问题。