举报漏洞有奖项目让谷歌，Mozilla物有所值

ZDNET安全频道 07月12日 综合消息： 据加州伯克利大学研究者透露，向查找软件漏洞的独立安全研究人员给予奖励，好过请专人来做同样的事情。

他们的研究针对的是谷歌和Mozilla专门为网页浏览器推出的漏洞奖励项目。

在过去三年里，谷歌已经支付了58万美元的奖励，Mozilla已经支付了57万美元的奖励。在这些项目中，数以百计的漏洞得到修补。

这些项目其实为两家公司节约了成本。在北美地区，公司如果聘请一名程序员，需要支付10万美元的月薪，所以运行这些项目的成本比雇请一个浏览器安全团队的成本要少。

此外，更多的人盯着代码，意味着这些项目可以暴露更多的软件漏洞，这比请专人查漏洞要高效。

该研究为奖励项目提供了一笔可观的基金，虽然并不是所有的供应商都接受这些项目。Adobe Systems和Oracle就没有付费获取漏洞信息。

微软也没有这个传统，但是微软上个月部署了一个一次性的项目。在7月26号，微软将为IE 11浏览器的漏洞支付1.1万美元。

漏洞奖励还有其他优势，如可以减少被贩卖给恶意攻击者的漏洞数量，这些恶意攻击者可能利用这些漏洞信息做违法犯罪的事情。这样的项目还让黑客们更难找到漏洞，研究者们写道。

但是谷歌和Mozilla项目的不同点在于项目对其效力的影响。

Mozilla为每个漏洞支付的奖励就是3000美元。谷歌则是采取递增的方式奖励，从500到10000不等。谷歌会对根据查找难度和影响，对漏洞进行评估。

谷歌奖励的平均值为1000美元，但是得到高额奖励的机会吸引了很多人参与到这个项目中来。

谷歌的项目所付出的的成本和Mozilla的差不多，但挖到的漏洞却是后者的三倍。而且吸引着人们反复参与，也吸引了一些新人。

该调查称：“这可以很好地刺激人们：潜在的奖励越大，就有更多人能接受得到比期望值小的奖励，对于项目本身而言，就可以收获更多参与者。”

而且，浏览器渗透比赛，如谷歌举办的Pwnium，奖励金额高达15万美金，非常吸引人。

该调查称：“我们认为这种奖励机制可以让Chrome的举报漏洞有奖项目摆出更鲜明的姿态，这样也可以鼓励更多人参与进来，特别是对那些获得广泛认可的研究者而言，更是如此。”

“我们推荐Mozilla更改奖励机制，向Chrome的分层奖励系统学习。”调查称。

这项调查由Matthew Finifter, Devdatta Akhawe和David Wagner撰写。