鳳凰網科技訊 北京時間8月5日消息,據國外媒體報道,自冠狀病毒爆發以來,“居家令”激發漏洞找茬員極大的熱情,微軟漏洞懸賞計劃支付的金額在過去一段時間呈爆炸式增長。
微軟公司當地時間本周二表示,在截至2020年6月30日的12個月里,該公司已經花費1370萬美元獎勵產品漏洞發現者,比上一年度同期的440萬美元多出逾兩倍。微軟直言,疫情封鎖限制措施在此間扮演了極其重要的角色。因為找茬員被迫呆在家里,同時又面臨失業風險,于是開始反復推敲微軟的代碼。在疫情爆發的前幾個月里,研究人員參與度明顯增強,漏洞報告數量不斷增加。
此外,漏洞懸賞呈爆炸式增長還與微軟增加編程錯誤報告途徑有關。據微軟漏洞懸賞項目負責人杰克·斯坦利(Jarek Stanley)透露,該公司在2020年新增六個獎勵項目和兩個新的研究資助項目,吸引了來自六大洲300多名研究人員的1000多份合格報告。
這種漏洞淘金熱潮也許能夠在一定程度上解釋,為何微軟每月發布的安全補丁一次就能解決CVE列出100多個的漏洞。然而,也有業內人士指出懸賞計劃也許并不可以作為一項健康的長期安全優先指標。 Luta Security公司首席執行官,同時也曾是微軟漏洞懸賞計劃設計師凱蒂·穆蘇里斯(Katie Moussouris)擔心企業會走向歧途,過度強調外部漏洞獎勵而忽視投入人力和資源來減少漏洞才是立身之本。
穆蘇里斯表示,在未來的某個時候,也許會有越來越多的工程師轉變成找茬員,只需靜待應用程序或系統軟件發布,即可尋找漏洞以換取高達6位數的回報。更糟的是,其他公司也會效仿微軟的做法。問題是,如果懸賞金額遠高于公司內部漏洞檢測程序員的薪酬時,也許會出現這樣一種趨勢,即企業會跳過重要的內部安全投資,以及人才不可避免地被分流。
穆蘇里斯最后指出,“微軟肯定會在內部安全方面進行投資,但像蘋果那樣將某些漏洞獎金定為25萬美元甚至超過100萬美元的趨勢,有可能誘使內部安全人員離職,并加大吸引新人才的難度。企業在考慮懸賞漏洞之前,應該做的是評估其防止、發現和修復安全漏洞的內部能力。在內部投資,雇傭更熟練的安全人員,使用更好的工具,并授權一個安全的開發生命周期,比懸賞更能獲得事半功倍的效果。(編譯/良弼)
