11月22日,DevOps平台GitLab宣布将关键漏洞赏金提高75%,承诺为关键问题支付2万至2万元3.5奖金支付上限1万美元,其他严重漏洞增加(增加50%)。
GitLab与许多其他公司一起,研究人员发现和报告软件漏洞的奖金增加了。在过去的两年里,微软、谷歌和Atlassian漏洞报告奖励全部增加。GitLab安全副总裁Johnathan Hunt据说,随着企业逐渐认识到漏洞奖励可以补充内部安全计划,降低风险,最终降低发现漏洞的成本,漏洞赏金市场越来越火爆。
Hunt表示:“这是一把双刃剑。好的一面是我们可以提高我们的应用程序安全性;在漏洞披露之前,我们可以安全地左移找到它们。但也就是说,在某种程度上,它也阻止了研究人员在我们的平台上花费更多的时间。”
因此,该公司增加了漏洞赏金。
漏洞赏金计划的这一趋势突出了公司在招聘研究人员和使用漏洞预防工具和流程之间的困难平衡。总的来说,研究人员对漏洞赏金计划的兴趣增加了:漏洞赏金计划管理公司HackerOne声称2020年提交漏洞的研究人员数量比去年增加了63%。然而,成熟产品的安全漏洞通常更难找到,尤其是能够带来最高奖励的关键漏洞。
随着工具的不断改进和公司应用安全状态的不断完善,最容易找到的漏洞(所谓“唾手可得的果实”)消失了,只留下那些难以发现的。众包漏洞公司Bugcrowd创始人兼首席执行官Casey Ellis这意味着,随着漏洞赏金计划生态系统的成熟,研究人员需要更多的赏金来维持挖掘漏洞的兴趣。
他表示:“当企业将漏洞奖励定在一定水平,发现有效报告的速度开始放缓时,就意味着‘该毕业了’:是时候增加奖励并进入下一阶段了。这样做可以动员少量奖励无法吸引的黑客,有效激励所有参与者投入更多。”
通过增加赏金,GitLab跟上许多其他软件公司的步伐。就在一年前,微软将其排名第一Windows漏洞赏金增加到10万美元,为各种应用和云服务投入了可观的漏洞赏金。截至2021年6月,微软已经运营了17个漏洞赏金计划,共有341名研究人员提交了1261份有效漏洞报告,赚取了1360万美元。2020年,谷歌的漏洞奖励费用几乎翻了一番,共有662名研究人员支付了670万美元,单个漏洞最高奖金达到13.25万美元。
2021年5月,Atlassian最高奖金直接翻了一倍,核心云产品漏洞赏金高达1万美元。GitLab和Atlassian Bitbucket的竞争者,GitHub超过203个报告漏洞支付52.4万美元。GitLab目前最高赏金比GitHub多提5000美元,但是GitHub表示自己的策略是开放的,可以为特别严重的漏洞支付更多的奖励。
GitLab安全副总裁Hunt公司之间的竞争可能会加剧安全研究人员之间的竞争。
他表示:“通过提高奖励,我们试图提高漏洞奖励计划的吸引力、参与度和专注度。我们努力吸引世界各地的人才和技术集。说实话,在我们的平台上找到漏洞越来越难了。这些信息包含在我们的反馈中。”
GitLab公司仍在完善吸引合格研究人员分析自己平台的策略。但为关键漏洞支付更多奖励并不一定是一条路。
Hunt称:“以GitLab例如,我们可以将漏洞赏金提高到10万美元,但我们每年只能找到几个,所以如果我们只增加漏洞赏金,我们可能会为两个人支付很多钱。大多数人都抓不到它P1等级(优先级为1)漏洞,这将消除他人参与漏洞赏金计划的热情。我们需要做的是全面提高参与度。”
Bugcrowd创始人兼首席执行官Ellis此外,由于新软件的不断推出和更新,漏洞永远不会枯竭。现在离黑客很远Samy Kamkar服务社交媒体MySpace发现了跨站脚本(XSS)漏洞已经15年了,但由于这种漏洞难以预防,开发人员太容易犯这种错误,XSS很有可能成为主要问题。
Ellis称,尽管“超级漏洞猎手”可以获得最丰厚的奖励,但发现持续漏洞的人很常见,材料也会继续使用。
“有些人专注于复杂的攻击链和业务逻辑漏洞的使用程序,而另一些人则以不寻常的方式寻找更简单的问题。真的需要很多人参与。”