安全研究人员称赞微软,Facebook错误赏金计划

安全研究人员称赞微软,Facebook错误赏金计划

Facebook和微软正在赢得喝彩,安全研究人员开展主动提供的恩泽错误猎人发现并报告的广泛使用的产品中的漏洞。 […]

2013-11-10

Facebook和微软正在赢得喝彩,安全研究人员开展主动提供的恩泽错误猎人发现并报告的广泛使用的产品中的漏洞。
    不像其他错误赏金计划,该计划在本周宣布由二重奏是不特定的供应商。相反,它会在一定范围内的技术,包括使用Python,Perl,PHP,Ruby on Rails和Django的的,Apache和Nginx的网络,    他们发现的漏洞奖励错误猎人。还包括技术,如IE浏览器,谷歌Chrome 10和Adobe Reader应用程序沙箱机制。
根据该计划设立一个网站,允许错误猎人报告的漏洞和响应小组能够解决的错误连接。阐明了该网站的漏洞披露指引,具体的披露时间表和流程,安全研究人员必须遵循的奖励资格。
    互联网问题赏金计划旨在奖励安全研究领域,这将最终使网络更加安全的整体,根据Facebook和微软。
“我们的做法是为了帮助解决两侧的奖励贡献”,该计划的一个发言人上周五表示。每个错误有两个奖项:一个发现它和一个固定。错误的发现者可以通过提供一个固定的初始赏金加倍,或者另一位志愿者从社区可以介入,并声称“修复”赏金“,他说。
    卡明斯基,共同创始人和首席科学家的安全启动WhiteOps,称为突破性的努力。“微软和Facebook都这么说,如果软件的基础设施水平已经达到了,那么它是在每个人的利益得到它固定的”,并确保它的安全,他说。
    卡明斯基在2008年,报道了DNS缓存投毒漏洞,影响几乎每一个域名服务器,在互联网上,并导致了前所未有的同步修补工作由微软,思科和其他许多技术厂商。修补的问题涉及众多厂商之间的协 调努力个月,安全研究人员和美国计算机应急响应小组(CERT)。
    他说,这项计划将使它更容易为报告漏洞的安全研究人员,接触多种产品和技术,将能更好地响应。“Facebook和微软都做快刀斩乱麻,”他说。
    Reeny林明达,EMC公司在保证产品安全总监,被称为错误赏金计划一个有价值的倡议。
    林明达说:“我们已经看到多个厂商都有自己的错误赏金计划”,。“这是第一次,那里已经出现了集体的的意图走到一起,仅供安全研究”。
    林明达所谓的努力是积极的一步,以鼓励负责任漏洞披露影响关键互联网基础设施技术。林明达说,许多错误赏金计划所涵盖的技术被集成到众多厂商的产品。
     EMC和RSA的组成部分,该计划的一部分,我们使用了许多,“她说。” “当我们这些技术在我们的产品中嵌入一??些,但我们最终会继承漏洞[中可能存在的。”
    任何努力来解决这些漏洞是一个很好的事情,她说。