近日,GitHub
在其博客上公布,2017
年它们针对“安全漏洞赏金”这个项目共支付了约 16.6
万美元。“安全漏洞赏金”是一个为期四年的项目,2017
年恰好是这个项目的第四年,通过这个项目,安全研究人员可上报自己发现关于
GitHub 的系统问题和安全漏洞。

澳门新葡萄京所有网站 1

微软公司正在实施一系列改革,进一步完善与全球安全研究人员的合作。作为该公司漏洞奖励计划的一部分,微软今天宣布,它去年为安全漏洞支付了200万美元。微软表示,现在付款将由HackerOne处理,支付选项不仅包括PayPal,并提供其他选项,其中包括以加密货币方式支付。

与 2016 年支付的 8.17
万美元相比,去年的支出总额翻了一倍多,几乎等于该计划前三年支付的总支出:17.7
万美元。而在该计划的头两年,该公司支付了 9.53 万美元的赏金。

以下是知名公司精选的赏金计划清单,没有什么可以争先后的。只是万一你发现bug了呢?万一……

澳门新葡萄京所有网站 2

此外,2017 年,GitHub 一共收到了 840
份漏洞报告意见书,但最终解决问题并获得赏金的比例只有 15%(约 121
份)。2016 年,GitHub 共收到了 795 份漏洞报告意见书,最终获得奖励的只有
73 份,而其中只有 48
份有效报告出现在漏洞赏金项目的主页上。

1、英特尔

微软高级项目经理Jarek
Stanley表示,微软正在与HackerOne合作,提供赏金支付处理和支持,以便有效地提供赏金奖励,支付方式包括PayPal,加密货币或30多种货币的直接银行转账。
HackerOne还支持奖励分割和慈善捐赠。此外,通过HackerOne处理的微软赏金将有助于用户在HackerOne平台上的整体声誉得分。

可以看到,去年有效报告的数量有了显著的上升,继而推动了总支出的增加,这也导致
GitHub
在去年十月重新评估其支付结构。结果就是,赏金增加了一倍,其中最低和最高支出分别为
555 美元和 20000 美元。

英特尔的赏金计划主要针对公司的硬件,固件和软件。

微软也强调,第一位报告符合奖励资格的漏洞的研究人员将获得赏金奖励,即使微软内部已经知道这个漏洞。微软关于同一漏洞重复外部报告的政策没有变化。尽管微软现在通过HackerOne处理奖金付款,但安全人员还是必须直接向微软发送漏洞报告,该公司表示研究人员可以通过secure@microsoft.com提交发现的安全漏洞。

随着参与项目的安全研究人员、计划举措以及奖金支出的不断增加,2017
年是迄今为止支付赏金最多的一年。此外,他们还把 GitHub Enterprise
引入到安全漏洞赏金项目,让研究人员能够在 GitHub.com
上一些未公开的、或是特定于某个企业部署的领域里找到漏洞。

局限性:不包括最近收购的产品,公司的网络基础设施,第三方产品或与McAfee有关的任何产品。

今年早些时候,微软还宣布增加一些漏洞奖项。例如,针对WindowsInsider预览奖励发现的漏洞现在起价为50000美元,最初的起价为15000美元,而Azure,Office365和其他在线服务等产品中的漏洞可以为您带来至少20000美元的奖金。

同样的,GitHub
计划进一步扩大去年取得成功的举措,推出更多私人奖励和研究补助金。

最低支出:英特尔为查找系统中的错误提供的最低金额为500美元。

澳门新葡萄京所有网站 3

原文:SecurityWeek
编译:开源中国

最高支付额:公司为检测严重错误最多支付30,000美元。

(文/开源中国)    

2、雅虎

雅虎拥有专门的团队,可以接受来自安全研究人员和道德黑客的漏洞报告。

局限性:对于在yahoo.net,Yahoo 7 Yahoo
Japan,Onwander和Yahoo经营的Word新闻博客中发现错误的公司不提供任何奖励。

最低支出: Yahoo没有最低支出的设定限制。

最高支付额:雅虎可以支付15000美元来检测其系统中的重要错误。

3、Snapchat

Snapchat安全团队将审查所有漏洞报告,并通过负责任的披露采取行动。公司,我们将在30天内确认您的提交。

最低支出: Snapchat 最低支付2000美元。

最高支付额:他们将支付的最高金额为15,000美元。

4、思科

思科鼓励遇到产品安全问题的个人或组织向公司报告。

最低支出:思科的最低支出为100美元。

最高赔付:公司将为发现严重漏洞提供最高2,500美元的赔偿。

5、Dropbox

Dropbox赏金计划允许安全研究人员报告第三方服务HackerOne上的错误和漏洞。

最低付款额:最低付款额为12,167美元。

最高支付额:提供的最高金额为$ 32,768美元。

6、苹果

苹果公司首次启动其漏洞赏金计划时,只允许24名安全研究人员使用。然后,该框架扩展为包括更多的漏洞赏金猎人。

该公司将向能够提取受Apple Secure
Enclave技术保护的数据的用户支付100,000美元。

最低付款额: Apple Inc.没有固定的限额。

最高支付额:对于因影响其固件的安全性问题,Apple给予的最高悬赏为200,000美元。

7、Facebook

根据Facebook的漏洞赏金计划,用户可以在Facebook,Instagram,Atlas,WhatsApp等上报告安全问题。

局限性:社交网络平台认为存在一些安全问题。

最低支出: Facebook将为已披露的漏洞支付至少500美元。

最高支出: Facebook没有为支出设定上限。

8、谷歌

.google.com,.blogger和youtube.com中的所有内容均已针对Google的漏洞奖励计划开放。

限制:此赏金计划仅涵盖设计和实施问题。

最低付款额: Google将为寻找安全线程至少支付300美元。

最高付款额:对于正常的Google应用程序,Google将支付最高的31337美元赏金。

9、Quora

Quora向所有用户和研究人员提供Bug Bounty程序,以查找和报告安全漏洞。

最低支出: Quora将为在其网站上发现漏洞支付最低100美元。

最高支付额:此网站提供的最高支付额为7000美元。

10、Mozilla

Mozilla奖励道德黑客和安全研究人员发现漏洞。

限制:赏金仅针对Mozilla服务中的错误提供。

最低付款额: Firefox的最低付款额为500美元。

最高付款额:公司最高支付 5000美元。

11、微软

Microsoft当前的漏洞赏金计划于2014年9月23日正式启动,仅与Online
Services交易。

局限性:仅针对严重和重要漏洞提供赏金奖励。

最低支出: Microsoft准备为发现关键错误支付15000美元。

最高支出:最高金额为250000美元。

12、OpenSSL

OpenSSL赏金允许您使用安全电子邮件报告漏洞。您还可以向OpenSSL管理委员会报告漏洞。

最低支出:公司支付的最低赏金为500美元。

最高支付额:公司提供的最高金额为5000美元。

13、Vimeo

Vimeo欢迎其产品中的任何安全漏洞报告,因为该公司会对该人给予良好的奖励。

最低支出:公司将支付最低500美元

最高付款额:该公司支付的最高金额为5000美元。

14、Apache

Apache鼓励有道德的黑客向他们的私人安全邮件列表之一报告安全漏洞。

最低支出: Apache给出的最低支出为500美元。

最高支付额:该公司最高可提供3000美元的奖励。

15、推特

Twitter允许安全研究人员和专家了解其服务中可能存在的安全漏洞。该公司鼓励人们发现错误。

最低支出: Twitter最低支付140美元。

最高付款额:公司的最高付款额为5000美元。

16、Avast

Avast赏金计划奖励道德的黑客和安全研究人员,以报告远程执行代码,本地特权提升,DOS,扫描程序绕过等问题。

最低付款: Avast可以向您支付最低400美元的款项。

最高付款额:公司提供的最高金额为10,000美元。

17、Paypal

Paypal还为安全研究人员提供了漏洞赏金计划。

局限性:

漏洞取决于社会工程学技术,主机

拒绝服务,用户定义的有效负载,不带嵌入式链接/
HTM的内容欺骗和需要越狱的移动设备的漏洞等。

最低付款: Paypal可以为发现系统中的安全漏洞至少支付50美元。

最高支付额Paypal提供的最高支付额为10000美元。

18、GitHub

GitHub从2013年开始运行漏洞赏金计划。每位成功的参与者都可以根据其严重程度来提交漏洞提交程序。

局限性:仅当安全研究人员尊重用户数据并且不利用任何问题来产生可能损害GitHub服务或信息完整性的攻击时,安全研究人员才能获得奖励。

最低付款额: Github会为发现错误支付至少200美元。

最高支付额: Github可以为发现严重错误支付10000美元。

19、Uber

Uber的漏洞奖励计划主要致力于保护用户及其员工的数据。

最低付款额:没有预定的最低金额。

最高付款额: Uber将为您发现严重的错误问题支付10,000美元。

20、Magento

Magneto赏金计划可让您报告Magneto软件或网站中的安全漏洞。

局限性:

进行安全研究后不符合赏金资格

Magento应用程序和系统的潜在或实际拒绝服务。未经授权使用漏洞利用来查看数据。Web表单的自动化/脚本测试

最低支出:此赏金计划的最低支出为100美元。

最高支付额: Magento为发现严重错误最多支付10,000美元。

21到32名分别为:Perl、PHP、星巴克、AT&T、LinkedIn、Paytm、Shopify、WordPress、Zomato、Tor
Project、HackerOne、Bugcrowd