如何在漏洞赏金计划中界定第三方资产范围？

首先，确认什么是第三方资产

第三方资产指的是不由公司完全拥有或运营的任何软件、系统或服务。它们可以包括SaaS工具、CDN服务、托管子域名以及代码库和集成。

这些资产不仅在法律上敏感，从运营角度来看也日益复杂。测试您不控制的资产（包括许多第三方服务）可能给您组织和参与的研究人员带来法律风险。

“在未经授权的测试范围内进行主动测试会使测试者面临法律风险。” —— Intigriti分类标准

即使资产使用您的品牌或在您的域名下托管，也不一定意味着您可以对其进行评估。

考虑是否真的希望将第三方元素纳入范围。一方面，您不对其系统中的错误负责，也无法修复这些错误。因此，除了查看报告和了解潜在漏洞外，您对这些报告能做的并不多，只能鼓励供应商自行修复。另一方面，知识就是力量，如果您意识到可能存在风险的错误，可以通知供应商。他们可能会采取行动，也可能不会，但您也可以采取额外的安全措施，以防范在供应链中看到的潜在漏洞。

当然，以上是针对第三方软件中的漏洞；安全风险也可能来自该软件中的错误配置。在您管理此第三方软件并对任何错误配置负责的情况下，让黑客查看这些资产非常有价值，因为这些错误配置是您可以在不依赖供应商进行更改的情况下解决的问题。

Lennaert Oudshoorn，Intigriti分类主管

在范围内包含和排除什么

如果在分析利弊后，您决定允许测试第三方资产，您必须获得第三方的书面授权，并且必须验证供应商是否有自己的公共BB或VDP。

供应商意识、透明度和协作是关键。

“本地第三方插件、库、依赖项或软件中的漏洞将始终转发给程序所有者。赏金资格将取决于供应商意识。” —— Intigriti分类标准

在您的程序策略中，创建一个清晰的部分来指定哪些资产在范围内和范围外，并包括您有权测试的第三方资产，以及指向外部服务的任何自有子域名。

不要包含任何第三方平台，除非您有明确的授权范围。

不要将属于其他公司漏洞赏金程序的工具纳入范围。

对于研究人员，在列为范围外的元素或功能中发现的漏洞不予评估或奖励。

此外，在第三方组件中发现的漏洞将根据其对整个系统的影响进行评估。

“严重性将考虑第三方组件是否对系统至关重要，以及漏洞是否可能被有意义地利用。如果研究人员在第三方组件中发现漏洞，发现者应始终在向其用户报告之前通知易受攻击组件的所有者或供应商。”

在第三方云托管解决方案（包括SaaS或PaaS）中发现的漏洞应报告给负责实施修复的一方，并且除非第三方在范围内明确提及，否则将被视为超出范围。

在此处阅读更多关于Intigriti分类标准的信息。

实施的最佳实践总结

• 在包含任何第三方资产之前，始终获得供应商的许可
• 定义一个对所有参与者都清晰的范围内外策略
• 使用标签明确定义资产限制
• 每季度审查第三方使用情况，并调整范围以反映任何变化

提升漏洞赏金之旅的后续步骤

有关本文任何要点的更多信息，请立即联系团队进一步讨论。请密切关注我们的下一篇博客，我们将剖析向我们团队提出的另一个热门问题！

对特定主题感兴趣？请将您希望得到解答的问题发送至pr@intigriti.com

作者 Eleanor Barlow 高级网络安全技术作家

上一篇文章 公开漏洞赏金计划后可以预期什么模式？

下一篇文章 如何吸引安全研究人员测试我的漏洞赏金计划？

您可能还喜欢 如何获得更多漏洞赏金提交和更高级别的发现？2025年9月22日 继续阅读 如何吸引安全研究人员测试我的漏洞赏金计划？2025年9月3日 继续阅读 公开漏洞赏金计划后可以预期什么模式？2025年8月27日 继续阅读