成高资讯
成高资讯>时事>88必发官网活动专区领雷神,美国总务管理局计划通过承包启动漏洞悬赏计划

88必发官网活动专区领雷神,美国总务管理局计划通过承包启动漏洞悬赏计划

88必发官网活动专区领雷神,美国总务管理局计划通过承包启动漏洞悬赏计划

88必发官网活动专区领雷神,e安全2月9日讯 美国总务管理局(u.s. general services administration,gsa)跟随联邦政府机构的大潮流,招募白帽子黑客寻找漏洞,以此提高系统安全性。

今年早些时候,gsa的技术改革服务部(technology transformation service,tts)在开源github项目上发布草案征集,期望潜在的资深厂商帮助gsa建立自己的漏洞悬赏计划。tts要求有关各方1月30日之前提供反馈意见。

漏洞悬赏的概念非常简单:雇用或未发现漏洞的白帽子黑客给予奖励。这是众包网络安全概念,只是方式更正式、更可信。

漏洞悬赏计划 — 要求安全研究人员寻找组织机构网络或系统内部的漏洞,机构给予相应的奖励。自美国国防部和美国陆军取得初步成功后,该计划在联邦政府机构中日益兴起。

草案征集的执行工作说明(performance work statement,pws)指出,“作为关注安全的重要组成部分,tts需要采购预先存在的商业漏洞悬赏saas(软件即服务)平台服务,从而启动并管理tts漏洞悬赏计划”。

gsa — 尤其18f数字服务团队,相当长时间以来,一直有建立漏洞悬赏计划的想法。18f团队早在2016年早些时候就开始研究漏洞悬赏试点,以此为其它机构提供服务,但具体项目似乎仍处于初期规划阶段。

根据这份悬赏计划,tts将借助承包商的帮助,邀请研究人员寻找tts web应用程序的漏洞。承包商还需对报告的漏洞进行分类,为发现有效漏洞的研究人员支付奖金,并解释驳回的原因。

gsa在github上提供建议价格:低危漏洞300美元,中危漏洞1000美元,高危漏洞5000美元。合同为固定价格合同,基础期限为3个月,预计每个月的奖金支出:6个有效低危漏洞、1个有效中危漏洞和1个高效高危漏洞。gsa表示,合同另外还有2个为期3个月的选择期。另外,感兴趣的承包商向gsa提供使用其悬赏平台的报价。

tts基本上会指定较大的资深漏洞悬赏厂商,这样的厂商已经建立了安全研究人员库,有利于发现更多的漏洞。

草案执行工作说明指出,考虑到漏洞悬赏计划的特性,提供漏洞悬赏saas平台(bug bounty saas platform,能实现tts的目标,并为政府带来最大价值)的承包商必须具有良好的信誉。漏洞悬赏saas平台的提供商越知名,在业界拥有的安全研究人才就越多。漏洞悬赏saas平台提供商网络的安全研究人员群体越大,在tts web应用程序上发现漏洞和技术问题的机率就越大。

gsa表示,已经开始审批行业内三大知名承包商。大量漏洞悬赏平台公司近年不断发展壮大,例如hackerone(运作国防部和美国陆军的项目)、synack和bugcrowd,但gsa未表明联系了哪家公司。

hackerone是唯一一家在该github项目上公开提交问题的公司。hackerone的首席技术官alex rice 指出,tts正在展现最佳做法,其它联邦政府的机构可能轻松如法炮制,从发布漏洞披露政策开始。

rice表示, “一旦完成了其中一个漏洞披露计划,漏洞悬赏项目便能以相对简易的程序进行。tts本质上是在构建蓝图,供其他人实施这些项目提供向导。”

rice指出,此外,tts在github上公开采购,并给予最大程度的灵活性,这是在构建人性化模式,供合作机构获取、调整并实施计划,以满足自身需求。

rice还表示,“tts是先驱,通过联邦承包的方式开辟新天地。18f和国防部的经验教训使得这些项目可为每个政府机构所用。因此,我认为联邦政府其它机构(尤其具有与采购相关总开销的机构)很快会加以重复利用,并会利用现有的好处。相比更传统的方法,政府将进一步强化众包安全的成本节约方式。”

rice认为,就像18f和tts开发的其它许多项目一样,该漏洞悬赏计划最开始也许只是单从机构利益出发,但其真正的价值是作为其它美国政府机构的poc。

他表示,真正的好处是,它会带来可重复的过程,几乎任何机构都能通过承包的方式实施这样的计划。这项提议的深意在于,如果经历了该过程,没有必要重复执行这项工作。”

tts预计将在4月6日左右确定承包商。获批的承包商将在10天内开始实施计划。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com