漏洞披露平台由“透明度和公平性”驱动,自2014年以来,已有超过500,000个错误

在众包应用程序安全市场中寻找利基市场的开放式漏洞赏金维护者

打开虫子赏金大约有1,300个活跃的Bug Bounty计划和22,000名注册安全研究人员,并且接近100万个协调的披露,导致大约50万个脆弱性补丁。

该项目成立于2014年,但商业广告的规模较差错误赏金市场的大野兽。

但是,维持平台的安全研究人员和其他“网络安全退伍军人”坚持认为,Hackerone和Bugcrowd之类的人分别成立于2012年和2011年初 - 不是直接的竞争对手。


推荐的“训练基础知识” - Bug Bounty Hunter“ Xel”在道德黑客方面锻造有利可图的职业


“许多商业漏洞赏金平台现在正在转移到渗透测试和其他传统MSSP服务与传统的漏洞赏金不同,” Open Bug Bounty的10位维护者告诉每日swbeplay2018官网ig在集体写的评论中。

的确,“笔测试”服务的日益普及也引起了红色团队启发的众包安全平台,例如Cobalt和Synack。

相比之下,“开放虫赏金是一种纯粹的群体安全测试和脆弱性披露平台,每个人都可以在遵循规则和行为守则的同时无限制地参与。”

“不受利润的动机”

开放错误赏金和竞争对手平台之间的另一个关键区别,其中还包括intigriti,,,,是的,Hackenproof,更多的是前者作为非营利组织的地位。

此外,该服务可以免费用于网站所有者以及研究人员 - 让维护人员本身支付托管和网络开beplay体育能用吗发成本。

他们说:“我们不受利润的动力,并且很乐意度过晚上维护平台。”

那么,是什么促使他们将时间和金钱投入到项目中呢?

他们解释说:“我们接近一百万个固定漏洞。”“我们很高兴看到如何安全研究人员网站所有beplay体育能用吗者利用该平台使网络成为更安全的地方。

“开放的虫子赏金团队主要由网络安全退伍军人组成,我们的基本目标是为行业带来透明,效率和公平性。”


Open Bug Bounty是一个漏洞赏金和众包安全平台Open Bug Bounty由一小群维护人员经营

“全面”,免费服务

自然,开放式虫赏金和黑客和Bugcrowd之间的财务资源有一个海湾,其增长是由数千万美元的风险投资投资推动的。

他们承认:“我们不能提供“商业参与者”提供的UI/UX或24/7支持的优雅。

但是,他们仍然通过明智地编写相对谦虚的资源来为计划所有者提供“无需支付的全面”服务。


赶上最新的漏洞赏金新闻


他们“向任何网站所有者提供协调和负责任的漏洞披露”beplay体育能用吗ISO 29147标准,但“不要与研究人员(总是直接与计划所有者沟通的研究人员”。

他们补充说,提交仅限于常见的Web应用程序漏洞“可以通过非侵入性手动beplay体育能用吗测试检测到”。

“为了XSS和类似的漏洞,我们为错误赏金所有者提供免费的分类和提交验证。但是,我们不接受SQL注射直接在平台上的RCE,但提供了一个核心地点,以协调该发现的报告,如果由Bounty Scope授权。”

折衷的客户群

开放的漏洞赏金模型对什么样的组织吸引了什么?根据平台的监督者的说法,相当广泛的范围。

维护者说:“我们拥有它以及电子商务公司,市场,大学,甚至是某些在公开虫子赏金中主持其漏洞赏金的政府实体。”

“我们定期收到严格的银行和其他公司的来访遵守和保密要求。

他们补充说,一些公司在Open Bug Bounty和一个主要的商业平台上主持了计划。

但是,如果没有提供调解,许多预算庞大的公司“可能会转到商业平台,将整个脆弱性披露和调解过程外包给研究人员”。

除了执行“透明规则”之外,缺乏调解将其争议经验限制在“孤立的案件”中。这些问题主要来自无辜的误解,主要是“迅速解决”。

关于严格禁止对网站进行自动测试的实例,添加维护者的投诉很少,这些实例可能会导致迅速的账户暂停。beplay体育能用吗


Open Bug Bounty是一个非营利的Bug Bounty平台自2014年以来,已通过公开漏洞赏金披露了将近一百万的安全漏洞

赏金和荣誉徽章

Open Bug Bounty平台的研究人员获得了荣誉徽章,以反映其有效提交的质量和数量,重点更重。

更明显的奖励可以包括财务赏金,其中一些加密货币支付五位数金额以及智能手表,礼品卡和其他非财务礼品的项目。beplay体育能用吗鼓励网站所有者至少表达感激之情或为成功提交的研究人员的个人资料提出建议。

维护者说:“根据我们的经验,网站所有者非beplay体育能用吗常感谢那些获得帮助,不仅受到经济奖励的动机,有时[有时]为最有用的提交的额外奖金所激励的研究人员。”

扩大报告功能

维护者最近升级了电子邮件系统,以通知组织脆弱性提交,并“不断改善”报告要求,以确保研究人员的提交“足够详细,清晰且可操作”。

报告功能也正在扩展,以“涵盖更广泛的安全漏洞”。

维护者说,他们还愿意接受社区的改进建议和合作伙伴关系,这些建议可以“提供更好DevSecops集成,辅助补救和其他增值功能”。

但是,随着商业漏洞赏金供应商越来越多地“转向渗透测试服务,以增加投资者的压力下的利润”,Open Bug Bounty将继续符合其创建任务的一致:“提供一个开放,透明且公平的平台无论他或她的国籍或安全证书数量如何,都可以加入。”


你可能还喜欢COVID-19大流行:Bug Bounty计划如何帮助确保世界上一些领先的轨道和跟踪应用程序