360SyScan国际安全会议分享漏洞奖

360SyScan国际安全会议分享“漏洞奖励计划”

谷歌自推出漏洞奖励机制以来便受到安全行业瞩目，360也在国内首家推出为漏洞报告者提供现金奖励的机制。12月13日，在360SyScan国际安全会议上，谷歌安全专家Kevin发表题为《Google漏洞奖励计划经验分享》的主题演讲，并在现场详细讲解了漏洞发掘以及奖励机制。

资料显示，漏洞奖励计划是谷歌专门为发现Google软件及产品漏洞发现者而设的奖励计划，漏洞发现者将获得谷歌支付的现金奖励以及其他额外鼓励。谷歌此后还推出Chrome浏览器漏洞奖励计划。这些漏洞奖励计划吸引了全球安全爱好者的关注，也帮谷歌公司大幅提升了产品及服务的安全性。

我们不会支付钱去修复漏洞，Kevin称谷歌漏洞奖励机制不是去买Bugs，而是奖励用户在寻找漏洞时花费的时间。Kevin表示，谷歌漏洞的范围不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions(if6 months)的攻击。

那么究竟什么才是谷歌在寻找的漏洞呢?Kevin详细介绍验证合格漏洞的四大步骤：合理的通知，私下的信息披露，适当的测试，第一个提出的、最好的解决。通过验证分析漏洞，谷歌将给予用户相应的奖励

。

Kevin笑称，并不是所有的漏洞报告都由技术人员发来，普通的民也会参与到寻找漏洞的娱乐的过程中去。据介绍，有用户冒着信用卡被刷爆的风险去寻找谷歌免费电影的漏洞，而谷歌为找个漏洞支付1337美元，希望该用户能够还清信用卡。

Kevin表示，85.2%的漏洞由新人发现，仅14.8%的漏洞由老用户发现，而且是前20%的人发现了80%的漏洞。但谷歌漏洞奖励机制也面临一些挑战。Kevin表示，谷歌经常会接到一些劣质报告，需要处理枯燥的文字，为分类和管理消耗大量的资源，而且一些人不喜欢为金钱而找Bug，或是有人希望用非Bug来取得奖金，这让谷歌漏洞奖励机制受到部分人的质疑。

谷歌、Facebook等国外互联公司漏洞奖励计划正趋于成熟，在国内，则仅有360公司为漏洞报告者提供现金奖励。此前，360安全漏洞响应平台推出漏洞奖励方案，按照漏洞类型、影响范围等因素设置奖励额度，迄今已发出数万元奖金。该项措施，也使360产品能够更快速响应漏洞威胁，通过汇集业界高手的力量，不断提升产品安全性。