每个业务都需要一个适当的流程处理保安漏洞报告,但有些组织在与安全研究人员打交道时采取了更为主动的方式。
越来越多的硬件和软件供应商拥有正式的bug奖励程序。例如,谷歌运行它自己的脆弱性奖励计划,而微软已经多个bug赏金涵盖Office 365、Azure、。net和Edge等通用程序,涵盖漏洞利用和防御。
卢塔安全公司现任首席执行官凯蒂·穆苏里斯说,美国国防部(DoD)在对软件行业进行了数年的观察后,首次设立了漏洞赏金。她曾为微软和赛门铁克(Symantec)创建过类似的程序,与FDA合作,为医疗设备的漏洞披露制定市场指南,并在HackerOne工作期间帮助国防部准备漏洞赏金。她告诉CIO:“国防部对这些项目的有效性很感兴趣,不管参与的人是否出于善意。”“他们想把私营部门的工作快速推进到国防部。”
“漏洞奖励实际上只是带有特定动机的漏洞披露的一个子集。它们可以成为有用的工具。就像任何其他的激励计划一样,你试图激发特定类型的行为,特定类型的错误,”Moussouris说。