【51CTO.com快譯】1Password最近已經(jīng)將其***bug賞金由原先的2萬5千美元提高至10萬美元，此次提價(jià)自然是為了進(jìn)一步激勵安全研究人員。另外，谷歌公司去年則為其bug賞金計(jì)劃總計(jì)支付達(dá)300萬美元。

但是，這些數(shù)字到底是如何確定的?

Bugcrowd公司運(yùn)營副總裁David Baker認(rèn)為，如此可觀的金額意味著企業(yè)已經(jīng)開始認(rèn)真考慮安全漏洞在市場上的實(shí)際價(jià)值。

[[186114]]

“一個bug到底價(jià)值幾何?”這無疑是眾包安全測試當(dāng)中最為常見的問題所在，他表示。

“答案雖然隨著bug賞金項(xiàng)目的逐步成熟而快速演變，但此類項(xiàng)目獲得成功的關(guān)鍵所在卻從未改變——即利用合適的激勵金額敦促研究人員進(jìn)行工作。然而，大多數(shù)企業(yè)并不太清楚決定賞金具體金額的各類復(fù)雜性因素，”Bakers指出。

為了解決這個問題，Baker分享了他在制定bug賞金計(jì)劃時總結(jié)出的一些經(jīng)驗(yàn)，包括如何及何時提高賞金額度，以及企業(yè)該如何充分利用自己的賞金項(xiàng)目。

· 千里之行，始于足下: 在對項(xiàng)目進(jìn)行初步定義時，必須強(qiáng)調(diào)獲取成功的重要性。首先，至少應(yīng)明確告知研究人員應(yīng)該測試什么、不該測試什么——這對于獲取理想結(jié)果而言至關(guān)重要。另外，這種明確的區(qū)間劃分也能夠有效控制賞金額度。畢竟作為發(fā)起者，企業(yè)有必要了解特定漏洞可能帶來的損失水平，并據(jù)此考慮設(shè)置怎樣的獎金。

· 定義bug的實(shí)際價(jià)值: 這是企業(yè)在制定項(xiàng)目成功標(biāo)準(zhǔn)時最需要回答的重要問題之一，而具體答案則取決于企業(yè)自身的目標(biāo)乃至安全團(tuán)隊(duì)規(guī)模。隨著越來越多的企業(yè)將其業(yè)務(wù)及安全目標(biāo)同眾包安全計(jì)劃聯(lián)系起來，我們發(fā)現(xiàn)研究人員參與其中的動機(jī)與活躍性皆呈現(xiàn)上升趨勢。通過仔細(xì)了解并評估潛在漏洞對業(yè)務(wù)的影響，同時比較市場中的過往案例，企業(yè)能夠更準(zhǔn)確地定義何時哪些特定bug最為重要(事實(shí)上，bug的重要度確實(shí)會不斷變化)。

· 選擇合適的時間與價(jià)格: 企業(yè)的安全成熟度決定著bug的實(shí)際價(jià)位。毫無疑問，安全成熟度高的企業(yè)往往更關(guān)注安全流程，因此需要投入更多時間與精力才能找到被其遺漏的bug。在這類項(xiàng)目中，大家***立足優(yōu)先級制定賞金計(jì)劃，但請記住，要給出與付出相符的回報(bào)。

· 建立具有競爭力的項(xiàng)目: 目前，bug賞金市場正在快速增長，并導(dǎo)致各項(xiàng)目之間存在激烈的競爭。如果缺少適當(dāng)?shù)囊龑?dǎo)，不少企業(yè)的項(xiàng)目會缺乏競爭力并導(dǎo)致吸引不到出色的研究人員。除了現(xiàn)金獎勵，我們還應(yīng)考慮大力宣傳并發(fā)布有趣的目標(biāo)——因?yàn)槿瞬乓矘酚趯⒆约旱陌l(fā)現(xiàn)公諸于眾。這不僅能夠肯定其技能或者知識水平，幫助其所帶領(lǐng)的團(tuán)隊(duì)及用戶了解如何發(fā)現(xiàn)bug，同時也能夠?yàn)閭€人提供良好的就業(yè)機(jī)遇及社區(qū)影響力。

· 營銷的力量: 另外，不要忽視bug賞金項(xiàng)目對于企業(yè)自身的營銷效果。不少企業(yè)利用其bug賞金計(jì)劃作為展示自身安全水平的機(jī)會。提高獎勵額度亦能夠證明您一直在認(rèn)真對待企業(yè)自身及客戶的安全保障工作。

原文標(biāo)題：How much is a bug worth?   原文作者：Ryan Francis

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】