黑客教育，包容性和对漏洞赏金的看法转移

Hackerone首席执行官MårtenMickos为Bug Bounty Platform盘点了另一个具有里程碑意义的年份

2016年4月18日，国防部为美国联邦政府标志着新的方向，因为它邀请黑客首次测试其面向公共的网站的安全漏洞。beplay体育能用吗

第一个漏洞报告到达只花了13分钟。六个小时后，这个数字已增长到近200个。

到月底黑客五角大楼飞行员计划国防部说，黑客在其网站上发现了138个独特的缺陷，并将奖励75,000美元的赏金支出。

鉴于最初的飞行员的成功，与Bug Bounty平台提供商Hackerone合作的DOD宣布将把这些计划扩展到其他部门。不久之后，美国政府的第一个永久漏洞披露政策被设置在适当的位置。

在过去的两年中，黑客五角大楼计划已向黑客支付了超过500,000美元的资金，以帮助维护一系列DOD网站和应用程序的关键服务和数据。beplay体育能用吗

尽管决定在世界上一些最有价值的互联网房地产上宣布开放季节的决定可能会使一些五角大楼官员的脊柱发抖，但很明显，国防部已经很快意识到，福利漏洞赏金计划可以带来好处。

就在两周前，该部门揭幕了扩大五角大楼数字防御计划的计划，带来了赏金平台Bugcrowd和Synack进入合作伙伴关系。

首席执行官MårtenMickos在反思Hackerone始于2016年的动力时说：“随着每一次迭代，政府计划都变得越来越开放，更具包容性，更加多样化。”

作为另一个具有里程碑意义的Bug Bounties的一年，每日swbeplay2018官网ig最近与米科斯（Mickos）坐下来，他讨论了该公司在2018年对臭虫赏金计划的看法，对黑客教育，包容性和不断变化的看法。

随着虫子赏金在世界范围内变得越来越受欢迎，黑客龙在黑客社区中的教育方面有多少重点，尤其是那些寻求提高技能的缺乏经验的虫子？

MårtenMickos：我们的策略有许多构建基础，教育就是其中之一。我们将黑客社区视为一个金字塔，拥有25万黑客的基础，并且是一个非常尖锐的山峰（代表）世界上最好的黑客。

当我们培养和管理黑客社区时，我们会考虑如何获得这25万个弗朗斯·罗森（Frans Rosen）或a马克·利奇菲尔德。为此，我们进行了大量的培训，教育和信息服务，以便他们可以学习。

[黑客]大多数都是自学成才的，因此尚不清楚正规教育对他们有好处。但是我们将提供它，我们还将尽可能多地帮助他们自学。

我们正在扩大基础，以获取更多的顶级黑客，并将其从基地一路获得，我们必须提供教育。

这对我们来说是重中之重，我们正在尝试不同的事情。我们有hacker101.com带有视频的网站，我们发布博客文章，回答有关Quora的问题，并与一些大学合作，在他们的网络安全课程上，使他们能够培训人们。

那些不积极参与黑客社区的人呢？您是否觉得黑客在消除围绕黑客的神话或黑客做什么时扮演的角色？

毫米：我认同。这不一定是基于业务考虑的，而是我们的任务驱动的。Hackerone没有人想到我们的使命 - 我们的使命是使世界能够建立更安全的互联网。我们认为我们必须支持世界“黑客”，我们必须以我们的公司名称说明，当它包含定义的负面风味时，我们必须联系牛津英语词典。“黑客”是一个好词。

我们之所以做这些事情，是因为我们对自己的工作充满热情。我不知道这是否具有商业意义，但生活不仅仅是业务。因此，是的，我们试图成为社会讨论的一部分。

在旧世界中，您会说政府是一件事，生意是另一回事，他们不应该彼此混乱。我认为，随着世界正在转变为数字文明，我们需要双方共同努力，因此我们将更多的社会观点和角色扮演。

例如，在2月我们被邀请在美国参议院作证关于漏洞和脆弱性披露。我们不必这样做，但是我们认为这是将其纳入官方记录的绝佳机会。

漏洞是一种新的破坏性模型。对于黑客的工作方式来说，这是显而易见的，但对社会来说并不明显。当然，我们有一家生意要经营，但我们希望它远远超出了我们赚钱的钱。

您可以提供与Hackerone平台当前大小有关的任何统计数据吗？

毫米：当我在2015年加入时，创始人说：‘我们有一个巨大的黑客社区！我们有16,000个黑客！’我当时想，“哇，真是太神奇了，真是太好了”。不到三年后，我们现在有超过25万黑客 - 这将不断增长。

目前，我们正在运行大约1,400个客户程序；我们帮助客户识别并修复了85,000个漏洞；我们已经支付了3900万美元的赏金。这些是迄今为止2018年的关键统计数据。

在许多其他部门中，竞争在很大程度上被视为对消费者和商业创新驱动力的一件好事。对于Bug Bounty平台，可以说同样的话吗？您对这个领域的竞争有何看法？

毫米：我会给你一个冲突的答案。当我作为Hackerone的首席执行官讲话时，我当然会尝试确保我们可以为地球上的每个客户提供服务，而且没人需要其他任何东西。那是我们的目标。

但是，当我看市场时，我确实认为竞争很有用。当我试图了解[Bounty Market]可能如何发展时，我在过去寻找类似的事件，并认为：“也许这个市场会像其他市场一样发展。”

我最经常回到的一件事是Linux发行版的市场。早在2000年，您就有红色帽子，Suse，Conectiva，Mandrake等。然后，您有很长的小玩家的尾巴。

现在，20年后，Red Hat是迄今为止的第一名，但Suse仍然存在。出现了规范，还有Kali Linux，Debian等。因此，我认为也许这个市场的发展会类似。

有一个强大的领导者的地方，还有小型竞争对手和替代方案的空间，这可能对每个人都有帮助。

当然，在一个平台上拥有所有东西有一定的好处，因为那时黑客将他们的分数收集到一个地方。但是世界从来都不是完全系统的和理性的，总会有一些人以自己的方式做自己的方式并需要另一种选择。

一些安全研究人员以前在范围模棱两可或有限的漏洞赏金计划上表示沮丧。您对这个问题有何看法？

毫米：我从积极的角度看一下 - 现在他们在平台上的事实是个好消息。现在，我们可以开始与他们合作，然后说：“好吧，让我们看一下范围，让我们看看您在范围和范围之外的内容，让我们对特定区域发光。”

他们和我们都可能需要时间才能看到什么是最好的食谱，但是如果一开始，我们就不必担心它不会立即吸引人。我们可以随时使其具有吸引力。我们可以回到黑客，说我们改变了赏金，我们改变了范围，这是宝藏地图，向您展示了如何导航并为他们做一部分。

拥有如此多的程序，我们将永远拥有一些不处于最美丽的状态，但这是短暂的，我们可以解决它。最重要的是让公司说他们对外部世界的投入持开放态度 - 让他们公开承诺。到达那里后，您可以开始微调。

除了扩大的“黑客五角大楼”计划，美国立法小组最近推荐政府机构应将脆弱性披露计划作为其风险策略的核心。当政府如何看待漏洞赏金时，我们是否达到了一个转折点？

毫米：美国联邦政府肯定会得到它。五角大楼黑客是每个人都在关注的现象。我们应该期望脆弱性披露计划在联邦机构之间迅速传播。至于“临界点”，我不认为我们在那里。碎片已经到位，我们离临界点并不遥远。但是我认为还没有达到。