如何在我的漏洞赏金计划中界定第三方资产范围?
目录
- 首先,检查什么是第三方资产
- 在范围中应包含和排除的内容
- 实施的最佳实践总结
- 增强漏洞赏金之旅的后续步骤
您提问,我们回答
在Intigriti,我们一直密切关注漏洞赏金计划持有者最常提出的问题。因此,我们推出了这个博客系列,致力于回答最常见的问题,深入探讨热门话题,并分享实用且专家支持的策略,以帮助您最大化漏洞赏金的成功。
在本系列中,我们已经回答了"公开漏洞赏金计划后可以预期什么模式?“和"如何吸引安全研究人员测试我的漏洞赏金计划?"。
在今天的博客中,我们探讨如何负责任地在漏洞赏金计划中界定第三方资产的范围。
首先,检查什么是第三方资产
第三方资产指的是不完全由您的公司拥有或操作的任何软件、系统或服务。它们可以包括SaaS工具、CDN服务、托管子域以及代码库和集成。
不仅它们在法律上可能敏感,而且从操作角度来看,越来越复杂。测试您不控制的资产,包括许多第三方服务,可能会给您的组织和涉及的研究人员带来法律并发症。
“对未经授权的测试范围进行主动测试会使测试者面临法律风险。” – Intigriti分类标准
即使资产在您的域名下品牌化或托管,也不一定意味着它们可以由您评估。
考虑您是否真的希望将第三方元素纳入范围。一方面,您不对其系统中的错误负责,也无法修复它们。因此,除了查看报告并了解潜在漏洞外,您对这些报告无能为力,只能鼓励供应商自行修复。另一方面,知识就是力量,如果您意识到可能存在风险的错误,可以告知供应商。他们可能会采取行动,也可能不会,但您也可以采取额外步骤来加强自身安全,以防范在供应链中看到的潜在漏洞。当然,上述情况适用于第三方软件中的漏洞;安全风险也可能由此软件中的错误配置引起。在您管理此第三方软件并对任何错误配置负责的情况下,让黑客查看这些资产当然非常有价值,因为这些错误配置是您可以在不依赖供应商进行更改的情况下解决的问题。 – Lennaert Oudshoorn, Intigriti分类主管
在范围中应包含和排除的内容
如果在分析利弊后,您决定允许测试第三方资产,您必须获得第三方的书面授权,并且必须验证供应商是否拥有自己的公共漏洞赏金计划或漏洞披露计划。
供应商意识、透明度和协作是关键。
“本地第三方插件、库、依赖项或软件中的漏洞将始终转发给程序所有者。赏金资格将取决于供应商意识。” – Intigriti分类标准
在您的程序策略中,创建一个清晰的部分来指定哪些资产在范围内和范围外,并包含您有权测试的第三方资产,以及指向外部服务的任何自有子域。
不要包含任何第三方平台,除非您有明确的授权范围。 不要将属于其他公司漏洞赏金计划的工具纳入范围。
对于研究人员,在列为范围外的元素或功能中发现的漏洞不予评估或奖励。
此外,在第三方组件中发现的漏洞将根据其对整个系统的影响进行评估。
“严重性将考虑第三方组件是否对系统关键,以及漏洞是否可能以有意义的方式被利用。如果研究人员在第三方组件中发现漏洞,发现者应始终在向用户报告之前告知易受攻击组件的所有者或供应商。”
在第三方云托管解决方案(包括SaaS或PaaS)中发现的漏洞应报告给负责实施修复的一方,并且将被视为范围外,除非第三方在范围中明确提及。
实施的最佳实践总结
- 在包含任何第三方资产之前,始终获得供应商的许可。
- 定义一个对所有相关人员都清晰的范围内和范围外策略。
- 使用标签明确定义资产限制。
- 每季度审查第三方使用情况,并调整您的范围以反映任何变化。
增强漏洞赏金之旅的后续步骤
有关本文中任何要点的更多信息,请立即联系团队进一步讨论。请密切关注我们的下一篇博客,我们将剖析向我们团队提出的另一个热门问题!
对特定主题感兴趣?通过发送电子邮件至pr@intigriti.com,将您希望得到答案的问题发送给我们。
作者
Eleanor Barlow
高级网络安全技术作家
上一篇文章
公开漏洞赏金计划后可以预期什么模式?
下一篇文章
如何吸引安全研究人员测试我的漏洞赏金计划?
您可能还喜欢
如何获得更多漏洞赏金提交和更高严重性的发现? (2025年9月22日)
如何吸引安全研究人员测试我的漏洞赏金计划? (2025年9月3日)
公开漏洞赏金计划后可以预期什么模式? (2025年8月27日)