防止重复和重复漏洞赏金提交成本的增长

什么是重复提交？

在漏洞赏金行业中，重复提交指的是两个或更多研究人员报告相同问题或漏洞的情况。

当研究人员通过漏洞赏金平台识别漏洞时，他们会向平台（如Intigriti）提交报告进行审核。如果问题已被报告，则会被标记为重复。

观察重复提交还可以显示研究人员在哪里发现相同的错误，这可能表明错误的可发现性较高，因此可能是优先处理已发现问题的重要指标。

有时，重复提交可能被标记为"已接受的重复"，以承认虽然其他人首先报告了该漏洞，但该错误是有效的，并有助于识别系统、程序或环境中的真实漏洞。

一般来说，如果提交具有相同的根本代码原因，则可以标记为重复。如有疑问，请自问第一个报告的修复是否也能修复其他报告。如果需要应用两个修复（例如在两个不同的端点上），则提交不会被视作重复，因为一个修复不会阻止第二个漏洞被发现。

如前所述，重复提交是指黑客报告漏洞，但该漏洞已被发现且仍在修复中或正在修复过程中。这些被标记为Dupes且不会获得奖励。

另一方面，重复提交是指黑客提交请求后，该提交已被修复，但针对同一漏洞又进行了另一次提交。这表明漏洞未被修复，或者再次被破坏。

以下是重复提交的两个示例：

IT安全团队已通知开发团队修复报告的漏洞。工作流票据已关闭，但部署并未修复问题。不久后，黑客再次利用该漏洞。
部署修复了报告的问题，但后续的另一个发布再次打开了风险。这在每周有许多发布的大型组织中尤为常见。在这里，确保相同漏洞不再发生变得更加困难，更不用说跟踪它们何时发生。

对组织而言，一个重大成本是可能为多个被接受的重复和重复提交支付费用。如果多个研究人员在同一时间段内提交相同问题，可能导致为同一个漏洞支付多次费用，这会带来挫败感。

我们最近的分析发现，平均3%的程序报告漏洞之前已被处理但后来重新出现。这正在给公司带来成本，并使风险对恶意黑客保持开放。我们一直与研究社区和客户合作，增加重测采用率，以便客户对安全覆盖更有信心，确保漏洞不再复发。

重复不仅给企业带来挫败感，研究人员在提交被标记为重复而没有解释时同样会感到气馁。

在没有适当解释或理由的情况下将提交标记为重复，可能导致研究人员转向其他程序。公平对待并与研究人员开放沟通将对您的程序产生长期积极影响。

Intigriti使用其最新的Dedupe AI模型分析了已关闭且假定已修复的报告的重复提交数量。目的是查看有多少提交已关闭但要么未被修复，要么漏洞重新出现。

这为重测打开了可能性。

提交重测指的是评估先前报告的漏洞以确定是否已成功缓解和/或解决的过程。重测并非Intigriti独有，但团队的分析显示，平均3%（在某些情况下为8%）的提交是针对重新出现的漏洞，这可能变得昂贵。

重测不能提供保证，但有助于确保您有一个安全流程，其中漏洞不会复发。毕竟，持续监控公司所有发布确实非常困难。

由于公司面临快速开发和创新以保持竞争力的压力，漏洞将会复发。重测通过降低复现漏洞的成本来提高赏金效率，为初始黑客提供额外的低努力重测奖励，并确保持续的漏洞保证。

重测完全由研究人员自行决定进行，通常一旦发现问题修复，会提供小额奖金。目前，几乎95%的所有重测请求已完成。

随着AI技术的进步，漏洞赏金计划将能够标记重新出现的漏洞，并提示客户在调查时开启循环重测。

您计划中最好的资源是拥有一批忠诚的研究人员，他们一次又一次地回来发现新的、更复杂的问题。

如果您正在部署修复但没有能力、专业知识或工具进行重测，Intigriti可以提供帮助。向研究人员请求重测，他们将检查漏洞是否仍然可复现和已解决。

如有任何漏洞赏金问题，请联系Intigriti与团队成员交流。