凭借超过3,500名全球研究人员,发现和公开披露的漏洞3,500个漏洞,迄今为止向研究人员提供超过1500万美元,趋势科技零日倡议(ZDI)是世界上最大的供应商 - 无人团赏金计划之一。
又称漏洞奖励计划,Abug Bounty Programmerewards安全研究人员 - 或White Hat Hackers - 用于发现软件错误,然后披露到要修复的软件供应商。
2016年,ZDI购买并披露了22%的公开发现的Microsoft漏洞,28%的公开披露漏洞在Adobe Software中找到。Zerian Gorenc的两家公司的顶级外部供应商,漏洞研究总监Brian Gorenc在趋势科技。
此外,作为供应商 - 不可知论者意味着ZDI在许多产品中购买错误,而一些供应商只能在自己的产品中购买错误。
“这不仅为我们提供了更多的报告,可以将过滤器转换为保护我们的网络防御客户,它还可以让我们看看整个行业的发生趋势,”Gorenc每周告诉计算机。
也就是说,ZDI是关于它购买的东西的选择性。虽然它收到了许多类漏洞的提交 - 但更新的代码执行,例如 - 权限信息披露的提升 - 它不会购买每个类型的错误,包括占据许多错误赏金程序的浏览站点脚本(XSS)。
“我们购买的错误是对消费者和企业最有影响的影响,这就是为什么我们看到研究人员寻找他们,”Gorenc说。
与任何Bug Bounty程序一样,负责披露键可最大限度地减少用户的漏洞。
Gorenc表示,该倡议的披露进程从提交先前未知,未染成的ZDI的未知漏洞的研究人员开始,这将验证漏洞,确定其价值并向研究人员提供奖励。
由于研究人员发现并提供了额外的研究,奖金和奖励可以通过忠诚度计划增加,类似于频繁的飞行员计划。
其次,ZDI负责任地,并及时通知软件供应商的安全漏洞。供应商约为120天以解决漏洞。
同时,趋势科技研究人员创建一个过滤器,以便在官方补丁准备就绪之前平均72天将其客户免受未括的漏洞。
软件供应商可以为漏洞发出补丁,或者向ZDI指示它无法,或选择不,修补漏洞。
然后,ZDI将根据其脆弱性披露政策公开披露其网站上漏洞的细节。
询问软件公司是否应该更负责导致漏洞的缺陷,但Gorenc表示,虽然他们应该致力于实现开发实践,漏洞是所有软件的必然部分。
“一旦众所周知,公司迅速解决问题很重要,而ZDI很乐意帮助促进世界上一些最大和最广泛部署的软件的过程,”他说。
“对于任何类型的安全事件的名称和羞辱供应商来说,它永远不会趋向于趋势科技方法 - 是否是产品漏洞,违规行为或其他方式。相反,我们专注于使世界安全为每个人交换数字信息。
“ZDI创建了一个协作环境,其中漏洞研究可以积极地利益软件景观,并帮助改善产品,最终目标是防止成功的违规和网络攻击。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。