漏洞盒子

FreeBuf旗下互联网安全测试平台——漏洞盒子于今日宣布，联合多个厂商共同发起互联网安全漏洞奖励计划。作为国内首支互联网安全漏洞基金，漏洞盒子的奖励计划面向全球安全研究者和白帽子，他们可针对企业和互联网常用的操作系统，系统组件，重要框架以及应用提交安全漏洞，基金会审核通过后授予漏洞提交者现金奖励，单个漏洞单次查看的最高奖励高达40万元。

漏洞盒子相信，建立一座连接厂商与白帽子的桥梁，整个互联网环境与生态会更加安全和健康。

什么是互联网安全漏洞

企业及互联网中常用的操作系统，系统组件，重要的框架以及应用中发现的高威胁安全漏洞。

为什么要发起互联网漏洞基金

互联网漏洞往往有着破坏力强、影响范围大的特点，它们大多不被公开甚至隐秘于黑市。一旦当互联网漏洞被公布，往往会在短时间内给企业、网站带来巨大损失。2014年4月爆出的心脏滴血（Heartbleed）漏洞，9月爆出的Bash（Shellshock）漏洞，10月爆出的SSL v3漏洞……越来越多互联网漏洞的爆发，给互联网、金融、教育、政府等诸多服务提供商带来了巨大影响，而互联网用户个人信息与财产安全面临着史无前例的巨大风险。

2013年11月，美国第三方平台HackerOne联合微软、谷歌和Facebook发起互联网漏洞奖励计划。PHP, OpenSSL, Perl, Ruby, Python和Apache网络服务器都在奖励范围之内。FaceBook表示：“那些非常严重的漏洞如果落入到错误的人手中，就可能对整个互联网造成可怕的后果”

2014年7月，Google宣布启动Project Zero的计划，致力于互联网漏洞的研究和发现。 “零日（0day）漏洞”是目前互联网普遍存在的一项威胁。由于此类安全漏洞通常都尚未被公开，因而用户并不能在第一时间获得有效的系统补丁和安全保护。黑客常利用这类漏洞对企业以及政府部门等发起网络攻击。也因为缺乏对有关信息的了解，这样的攻击往往很难被发现。

2014年10月15日，漏洞盒子-互联网漏洞基金在中国走在了最前面。在漏洞盒子第一批安全漏洞奖励计划的列表中，包括了操作系统、应用服务器、系统组件在内的11项互联网流行产品，而一些本土化、国产的组件也会在后续逐步纳入。

互联网安全漏洞奖励规则

由于互联网安全漏洞发现难度大、价值高，因此漏洞盒子也在互联网漏洞基金的奖励设定上展现了十足的诚意，我们对漏洞提交者的奖励非常丰厚：

1、奖励计划中的每项产品漏洞奖励单价不同，目前单个漏洞单次查看的最高奖励高达40万元
2、漏洞奖金可叠加。也就是说多个基金会成员厂商查看某一个漏洞，漏洞提交者可以获得多次奖金叠加

互联网安全漏洞处理流程

漏洞盒子遵循负责任的漏洞披露，漏洞信息及修复方案完全由产品开放商决定是否公开。

Step 1、白帽子提交漏洞
Step 2、漏洞盒子完成漏洞审核
Step 3、漏洞盒子将漏洞信息通知产品官方和基金会成员（厂商）
Step 4、漏洞信息及修复方案由产品官方决定是否公布

关于基金会

漏洞盒子不排斥任何厂商的加入，即使基金会成员（厂商）在公司层面是激烈的竞争对手，但我们认为厂商安全团队之间并非如此。以下为基金会基本条例：

1、基金会成员（厂商）须是产品官方认可的使用者
2、基金会成员（厂商）须经过漏洞盒子的资质审核
3、基金会下设理事会，由厂商代表、漏洞盒子以及独立第三方组成

专题页面

https://vulbox.com/ibb