疫情下找茬員反復(fù)推敲代碼，微軟花費(fèi)1370萬(wàn)美元獎(jiǎng)勵(lì)漏洞發(fā)現(xiàn)者

北京時(shí)間 8 月 5 日消息，據(jù)國(guó)外媒體報(bào)道，自冠狀病毒暴發(fā)以來(lái)，“居家令”激發(fā)漏洞找茬員極大的熱情，微軟漏洞懸賞計(jì)劃支付的金額在過(guò)去一段時(shí)間呈爆炸式增長(zhǎng)。

微軟公司當(dāng)?shù)貢r(shí)間本周二表示，在截至 2020 年 6 月 30 日的 12 個(gè)月里，該公司已經(jīng)花費(fèi) 1370 萬(wàn)美元獎(jiǎng)勵(lì)產(chǎn)品漏洞發(fā)現(xiàn)者，比上一年度同期的 440 萬(wàn)美元多出逾兩倍。微軟直言，疫情封鎖限制措施在此間扮演了極其重要的角色。因?yàn)檎也鐔T被迫呆在家里，同時(shí)又面臨失業(yè)風(fēng)險(xiǎn)，于是開(kāi)始反復(fù)推敲微軟的代碼。在疫情爆發(fā)的前幾個(gè)月里，研究人員參與度明顯增強(qiáng)，漏洞報(bào)告數(shù)量不斷增加。

此外，漏洞懸賞呈爆炸式增長(zhǎng)還與微軟增加編程錯(cuò)誤報(bào)告途徑有關(guān)。據(jù)微軟漏洞懸賞項(xiàng)目負(fù)責(zé)人杰克 · 斯坦利 (Jarek Stanley)透露，該公司在 2020 年新增六個(gè)獎(jiǎng)勵(lì)項(xiàng)目和兩個(gè)新的研究資助項(xiàng)目，吸引了來(lái)自六大洲 300 多名研究人員的 1000 多份合格報(bào)告。

這種漏洞淘金熱潮也許能夠在一定程度上解釋，為何微軟每月發(fā)布的安全補(bǔ)丁一次就能解決 CVE 列出 100 多個(gè)的漏洞。然而，也有業(yè)內(nèi)人士指出懸賞計(jì)劃也許并不可以作為一項(xiàng)健康的長(zhǎng)期安全優(yōu)先指標(biāo)。Luta Security 公司首席執(zhí)行官，同時(shí)也曾是微軟漏洞懸賞計(jì)劃設(shè)計(jì)師凱蒂 · 穆蘇里斯 (Katie Moussouris)擔(dān)心企業(yè)會(huì)走向歧途，過(guò)度強(qiáng)調(diào)外部漏洞獎(jiǎng)勵(lì)而忽視投入人力和資源來(lái)減少漏洞才是立身之本。

穆蘇里斯表示，在未來(lái)的某個(gè)時(shí)候，也許會(huì)有越來(lái)越多的工程師轉(zhuǎn)變成找茬員，只需靜待應(yīng)用程序或系統(tǒng)軟件發(fā)布，即可尋找漏洞以換取高達(dá) 6 位數(shù)的回報(bào)。更糟的是，其他公司也會(huì)效仿微軟的做法。問(wèn)題是，如果懸賞金額遠(yuǎn)高于公司內(nèi)部漏洞檢測(cè)程序員的薪酬時(shí)，也許會(huì)出現(xiàn)這樣一種趨勢(shì)，即企業(yè)會(huì)跳過(guò)重要的內(nèi)部安全投資，以及人才不可避免地被分流。

穆蘇里斯最后指出，“微軟肯定會(huì)在內(nèi)部安全方面進(jìn)行投資，但像蘋(píng)果那樣將某些漏洞獎(jiǎng)金定為 25 萬(wàn)美元甚至超過(guò) 100 萬(wàn)美元的趨勢(shì)，有可能誘使內(nèi)部安全人員離職，并加大吸引新人才的難度。企業(yè)在考慮懸賞漏洞之前，應(yīng)該做的是評(píng)估其防止、發(fā)現(xiàn)和修復(fù)安全漏洞的內(nèi)部能力。在內(nèi)部投資，雇傭更熟練的安全人員，使用更好的工具，并授權(quán)一個(gè)安全的開(kāi)發(fā)生命周期，比懸賞更能獲得事半功倍的效果?！?/p>

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。