BountyGraph：众筹漏洞赏金与安全审计

Max Justicz
2018年8月1日

漏洞赏金与依赖关系

我刚推出了一个网站！BountyGraph基于这样一个理念构建：流行的免费和开源软件项目中的严重漏洞应该被：

• 发现
• 快速修复
• 并获得高额奖金

不幸的是，一些最大的赏金是由那些有既得利益的组织提供的，它们要么不迅速修复漏洞，有时甚至根本不修复。以Apache HTTP Server中的漏洞为例。如果一家公司公开宣传的价格表可信的话，只要您愿意将漏洞利用程序打包并出售给政府，您就可以获得高达15万美元的报酬。Trend Micro ZDI支付丰厚，但他们在通知项目维护者之前，会为每个漏洞向Trend Micro客户发布“保护过滤器”。如果您想直接将漏洞报告给维护者，您可能会获得来自Internet Bug Bounty的3,000美元奖励。

我希望有一个漏洞报告机制，不会为任何企业提供商业激励，使其向能够修复漏洞的人隐瞒漏洞信息。并且有一天，我希望这个解决方案能够真正与私人漏洞经纪人竞争。

介绍BountyGraph

这是我的提议：如果依赖某个软件安全性的组织能够轻松、具体地分配资金来帮助保持其安全性，会怎么样？这就是BountyGraph背后的理念。BountyGraph为免费和开源软件依赖项提供众筹漏洞赏金和安全审计。

该网站的工作方式如下：

[编辑：更新以反映变化]

1. 免费和开源软件项目注册BountyGraph并创建类似这样的个人资料页面。
2. 通过项目页面，项目可以从其企业用户那里筹集漏洞赏金资金。还可以选择通过专业安全咨询公司众筹安全审计。
3. 漏洞通过BountyGraph工单系统或通过电子邮件外部报告给项目。
4. 一旦发布可用的补丁，维护者会分配严重性并将漏洞提交给BountyGraph进行验证。
5. BountyGraph通知项目的资助组织，然后这些组织有机会向发现漏洞的黑客和修复漏洞的维护者支付赏金。
6. BountyGraph不会也不会通过我们平台上报告的漏洞信息获利。相反，我们在每笔赏金之上收取固定比例的費用。

在Facebook仅为影响其移动网站的XSS漏洞支付7,500美元的世界里，我认为非常不幸的是，对世界上最常见依赖项的安全研究的财务激励做得太少。经常有数百万用户的组织依赖由爱好者免费开发的软件的安全性，但没有任何措施来确保即使是最表面的漏洞也被发现。当风险如此之高时，很明显我们不应该只是等待善良的黑客免费在依赖项中发现漏洞。

如果您在一家希望帮助缩小这一资金缺口的公司工作，或者如果您运行一个希望资助赏金计划或审计的FOSS项目，我希望您考虑查看BountyGraph！

联系

Max Justicz
max@justi.cz
mastodon.mit.edu/@maxj

我会在仅几篇文章后放弃这个博客吗？敬请关注并找出答案！