安全港计划:避开法律风险 保护善意黑客

栏目: 软件资讯 · 发布时间: 5年前

​漏洞奖励项目越来越普遍,公营和私营公司都纷纷纳入自由安全研究员来发现自身系统中的漏洞,帮助守护宝贵的客户数据。HackerOne 2018年报告指出,仅过去一年里新漏洞奖励项目就暴增了 54%

80%

安全港计划:避开法律风险 保护善意黑客

然而,尽管项目有所增长,披露标准和具体实施方法却各家公司大有不同。这种标准的缺乏使善意黑客背负了潜在的法律责任,也使公司企业面临了本可避免的巨大风险,就好像Equifax数据泄露事件所揭示的那样。

为确保漏洞披露产业持续发展壮大,公司企业需以通俗易懂的语言标准化报告规程及策略,保护善意黑客。通过昭示道路规范,行业也能趟出一条安全的康庄大道。

防止漏洞外泄

想要确保系统迈向堵上报告漏洞之路,公司企业需要采取一些关键措施,其中就包括建立漏洞披露项目(VDP)。VDP为黑客提供了快速报告漏洞的安全通道,公司内部专家团队也可以更快分类和缓解问题。

作为VDP的延伸,安全港条款为漏洞奖励项目提供了具体的指导和规范。几家大公司,比如Dropbox和通用公司,就设置了此类策略,但大多数公司企业都没有。事实上,HackerOne的调查显示,93%的福布斯全球2000强企业都没有供研究人员上报漏洞的通道。因此,黑客无法确信自己直接与公司合作会不会惹上民事或刑事诉讼,只有完全出于好意不求回报的黑客才敢报告漏洞了。

在缺乏安全港条款的情况下,黑客固然身负风险,但今天如火如荼的漏洞奖励经济依然提供了大把机会。毕竟,时间就是金钱,而且这还是个卖方市场。在有机会为公开提供奖赏和保护的公司干活的时候,自由安全研究人员是没有动力给缺乏恰当保护的公司企业报告漏洞的。面对这种尴尬的情况,有些黑客可能就直接不报告漏洞,甚至可能会选择在暗网这个数据和远程控制热销的市场发布信息,或者公开披露漏洞以羞辱涉事公司企业,让其他黑客纷纷利用该信息了——就好像2017年微软遭遇的那样。

平衡风险和回报

公司企业需通过撰写清晰的条款为黑客提供广泛的保护来正式形成安全港保护。这么做很合算,因为 漏洞奖励的花销远少于缓解数据泄露的开销 。HackerOne报告中陈诉的关键漏洞平均奖金是2,041美元;波耐蒙研究所调查研究的数据则显示数据泄露平均损失为362万美元。经济账一目了然。

通过在现有漏洞奖励项目间创建通用语言,使黑客不用在项目间频繁变动与转换,Disclose.io之类现有项目有助于标准化安全港条款。不过,安全港条款也并非全无风险,公司企业和黑客双方均承担有各自的风险,需采取一些措施让安全港得到更广泛的采纳。

添加易于接受的常用法律用语以管理披露项目是公司企业推动安全港采纳的最佳方式。通过使用简单易懂的措辞进行公示,公司企业可声明不会对指定安全范围内的黑客提起法律诉讼。

具备较高曝光度、成熟漏洞项目和高度响应能力的知名软件公司,比如Dropbox和Mozilla,在安全港项目上走在前列,而整个漏洞披露产业都将受益。

2018 HackerOne 报告:

https://www.hackerone.com/sites/default/files/2018-07/The%20Hacker-Powered%20Security%20Report%202018.pdf

Disclose.io项目:

https://disclose.io/

相关阅读


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

LaTeX入门

LaTeX入门

刘海洋 / 电子工业出版社 / 2013-6-1 / CNY 79.00

LaTeX 已经成为国际上数学、物理、计算机等科技领域专业排版的实际标准,其他领域(化学、生物、工程、语言学等)也有大量用户。本书内容取材广泛,涵盖了正文组织、自动化工具、数学公式、图表制作、幻灯片演示、错误处理等方面。考虑到LaTeX 也是不断进化的,本书从数以千计的LaTeX 工具宏包中进行甄选,选择较新而且实用的版本来讲解排版技巧。 为了方便读者的学习,本书给出了大量的实例和一定量的习......一起来看看 《LaTeX入门》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

在线进制转换器
在线进制转换器

各进制数互转换器

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具