据外国媒体,为激励安全性研究人员积极主动向官网递交漏洞汇报,美国国土安全局(DHS)曾进行HackDHS漏洞赏金计划。但是伴随着Log4j危害的加重,美国网络信息安全与基础设施建设安全性(CISA)的Jen Easterly,又于Twitter上公布了HackDHS新项目的升级。
做为美国国防部长(DHS)属下的一个下属组织,CISA已经对有关漏洞运用维持相对高度密切关注。微软公司等互联网巨头也是强调,全世界很多有浓厚环境的网络黑客,都是在充分运用Log4shell漏洞。在Log4shell漏洞公布披露数日后,DHS就在上星期开设了HackDHS计划,以期能够更好地解决有关事情。与很多民营企业的漏洞赏金计划不一样,HackDHS并非一个彻底向群众打开的计划,反而是期待打动大量根据审批的网络信息安全研究人员加盟代理。
据了解,该计划将分成三个环节开展,在第一阶段,安全性研究人员将对一些DHS外界系统软件进行虚似评定。到第二阶段,她们将参加当场、零距离的网络黑客主题活动。最终的第三阶段,DHS将鉴别和核查数据信息,并规划人生的漏洞赏金计划。
虽然紧紧围绕Log4j的关键漏洞早已实行了二轮修补,但因为初期补丁包自身也存有缺点,很多Log4j应用软件未获得立即升级、且总有些系统软件未得到恰当修复,后面也有一系列磨练正在路上。对于HackDHS计划的资质证书,最先得被DHS挑中才还有机会参加。后若成功寻找一个漏洞,就可以得到5000美金的奖赏。DHS层面将在缺点曝出48小時内给予认证,并尽力在15日内进行修补。但若漏洞更为错综复杂且比较严重,DHS也有可能必须消耗更长的時间。