谷歌自推出漏洞獎(jiǎng)勵(lì)機(jī)制以來便受到安全行業(yè)矚目，360也在國(guó)內(nèi)首家推出為漏洞報(bào)告者提供現(xiàn)金獎(jiǎng)勵(lì)的機(jī)制。12月13日，在360SyScan國(guó)際安全會(huì)議上，谷歌安全專家Kevin發(fā)表題為《Google漏洞獎(jiǎng)勵(lì)計(jì)劃經(jīng)驗(yàn)分享》的主題演講，并在現(xiàn)場(chǎng)詳細(xì)講解了漏洞發(fā)掘以及獎(jiǎng)勵(lì)機(jī)制。

資料顯示，“漏洞獎(jiǎng)勵(lì)計(jì)劃”是谷歌專門為發(fā)現(xiàn)Google軟件及產(chǎn)品漏洞發(fā)現(xiàn)者而設(shè)的獎(jiǎng)勵(lì)計(jì)劃，漏洞發(fā)現(xiàn)者將獲得谷歌支付的現(xiàn)金獎(jiǎng)勵(lì)以及其他額外鼓勵(lì)。谷歌此后還推出Chrome瀏覽器漏洞獎(jiǎng)勵(lì)計(jì)劃。這些漏洞獎(jiǎng)勵(lì)計(jì)劃吸引了全球安全愛好者的關(guān)注，也幫谷歌公司大幅提升了產(chǎn)品及服務(wù)的安全性。

“我們不會(huì)支付錢去修復(fù)漏洞”，Kevin稱谷歌漏洞獎(jiǎng)勵(lì)機(jī)制不是去買Bugs，而是獎(jiǎng)勵(lì)用戶在尋找漏洞時(shí)花費(fèi)的時(shí)間。Kevin表示，谷歌漏洞的范圍不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions（if<6 months）的攻擊。

那么究竟什么才是谷歌在尋找的漏洞呢？Kevin詳細(xì)介紹驗(yàn)證“合格漏洞”的四大步驟：合理的通知，私下的信息披露，適當(dāng)?shù)臏y(cè)試，第一個(gè)提出的、最好的解決。通過驗(yàn)證分析漏洞，谷歌將給予用戶相應(yīng)的獎(jiǎng)勵(lì)。

Kevin笑稱，并不是所有的漏洞報(bào)告都由技術(shù)人員發(fā)來，普通的網(wǎng)民也會(huì)參與到尋找漏洞的娛樂的過程中去。據(jù)介紹，有用戶冒著信用卡被刷爆的風(fēng)險(xiǎn)去尋找谷歌免費(fèi)電影的漏洞，而谷歌為找個(gè)漏洞支付1337美元，希望該用戶能夠還清信用卡。

Kevin表示，85.2%的漏洞由新人發(fā)現(xiàn)，僅14.8%的漏洞由老用戶發(fā)現(xiàn)，而且是前20%的人發(fā)現(xiàn)了80%的漏洞。但谷歌漏洞獎(jiǎng)勵(lì)機(jī)制也面臨一些挑戰(zhàn)。Kevin表示，谷歌經(jīng)常會(huì)接到一些劣質(zhì)報(bào)告，需要處理枯燥的文字，為分類和管理消耗大量的資源，而且一些人不喜歡為金錢而找Bug，或是有人希望用非Bug來取得獎(jiǎng)金，這讓谷歌漏洞獎(jiǎng)勵(lì)機(jī)制受到部分人的質(zhì)疑。

谷歌、Facebook等國(guó)外互聯(lián)網(wǎng)公司“漏洞獎(jiǎng)勵(lì)計(jì)劃”正趨于成熟，在國(guó)內(nèi)，則僅有360公司為漏洞報(bào)告者提供現(xiàn)金獎(jiǎng)勵(lì)。此前，360安全漏洞響應(yīng)平臺(tái)推出漏洞獎(jiǎng)勵(lì)方案，按照漏洞類型、影響范圍等因素設(shè)置獎(jiǎng)勵(lì)額度，迄今已發(fā)出數(shù)萬元獎(jiǎng)金。該項(xiàng)措施，也使360產(chǎn)品能夠更快速響應(yīng)漏洞威脅，通過匯集業(yè)界高手的力量，不斷提升產(chǎn)品安全性。

關(guān)于奇虎360科技有限公司

奇虎360(NYSE:QIHU)是中國(guó)第一大互聯(lián)網(wǎng)安全服務(wù)提供商。按照用戶數(shù)量計(jì)算，目前奇虎360是中國(guó)第三大互聯(lián)網(wǎng)公司。作為“免費(fèi)安全”的首創(chuàng)者，奇虎360為近4億中國(guó)互聯(lián)網(wǎng)用戶提供領(lǐng)先的互聯(lián)網(wǎng)和無線安全產(chǎn)品及服務(wù)，覆蓋率近90%。奇虎360通過提供細(xì)致、完善的平臺(tái)服務(wù)以及網(wǎng)絡(luò)安全服務(wù)，以開放平臺(tái)實(shí)現(xiàn)商業(yè)價(jià)值，與合作伙伴共同建立起多方共贏的互聯(lián)網(wǎng)生態(tài)體系。