近日，Hackone公布了2020年十大漏洞賞金項目TOP10榜單，該列表基于HackerOne項目目錄中的公共信息，排名依據每家企業在2020年4月(包括之前)向黑客支付的累計賞金總額。榜單排名具體如下(紅色字體為單項最高或最低數值)：

[[332989]]

第一名：Verizon Media

• 行業：數字媒體
• 總支付賞金：940.8萬美元
• 最高賞金：7萬美元
• 答謝黑客：1315名
• 解決報告問題：5928個
• 初次響應時間：8小時
• 獎金支付平均賬期：13天

第二名：Paypal

• 行業：互聯網金融、支付
• 總支付賞金：279萬美元
• 最高賞金：3萬美元
• 答謝黑客：371名
• 解決報告問題：755個
• 初次響應時間：4小時
• 獎金支付平均賬期：17天

第三名：Uber

• 行業：互聯網、共享出行
• 總支付賞金：241.5萬美元
• 最高賞金：5萬美元
• 答謝黑客：635名
• 解決報告問題：1466個
• 初次響應時間：5小時
• 獎金支付平均賬期：90天

第四名：英特爾

• 行業：半導體、芯片制造
• 總支付賞金：189.7萬美元
• 最高賞金：未知
• 答謝黑客：96名
• 解決報告問題：未知
• 初次響應時間：未知
• 獎金支付平均賬期：未知

第五名：Twitter

• 行業：互聯網、社交媒體
• 總支付賞金：128.8萬美元
• 最高賞金：2.016萬美元
• 答謝黑客：842名
• 解決報告問題：1160個
• 初次響應時間：12小時
• 獎金支付平均賬期：8天

第六名：GitLab

• 行業：軟件開發
• 總支付賞金：121.1萬美元
• 最高賞金：2萬美元
• 答謝黑客：250名
• 解決報告問題：581個
• 初次響應時間：1小時
• 獎金支付平均賬期：19天

第七名：Mail.ru

• 行業：互聯網、電子郵件
• 總支付賞金：111.9萬美元
• 最高賞金：2萬美元
• 答謝黑客：973名
• 解決報告問題：3333個
• 初次響應時間：5小時
• 獎金支付平均賬期：17天

第八名：GitHub

• 行業：軟件開發
• 總支付賞金：98.7萬美元
• 最高賞金：2.5萬美元
• 答謝黑客：310名
• 解決報告問題：535個
• 初次響應時間：15小時
• 獎金支付平均賬期：13天

第九名：Valve

• 行業：在線游戲、PC游戲平臺
• 總支付賞金：95.1萬美元
• 最高賞金：2萬美元
• 答謝黑客：322名
• 解決報告問題：589個
• 初次響應時間：9小時
• 獎金支付平均賬期：60天

第十名：Airbnb

• 行業：互聯網、在線旅游、共享房屋出租
• 總支付賞金：94.4萬美元
• 最高賞金：1.5萬美元
• 答謝黑客：353名
• 解決報告問題：775個
• 初次響應時間：5小時
• 獎金支付平均賬期：19天

由于HackOne的榜單僅有排名和基礎數據，以下，安全牛嘗試解讀這份榜單背后的隱含信息和趨勢：

• 漏洞賞金總額和最高賞金創新高。2020年漏洞賞金項目TOP10企業的總獎金(累計)已經超過2300萬美元，其中Verizon Media已通過HackerOne的平臺向白帽黑客支付了近1000萬美元。

TOP10企業主要集中在互聯網金融、在線游戲、軟件開發、在線旅游、社交媒體幾大領域。這些企業的一個很大共同點就是存儲大量高價值用戶信息，是黑客的熱門攻擊目標，數據泄露和違規事件不但會給平臺自身造成嚴重損失，同時也會波及其他行業。

• 再次強調漏洞披露的必要性。白帽黑客社區的漏洞披露規則向來是個頗具爭議性的話題。HackerOne首席技術官兼聯合創始人Alex Rice在一封電子郵件聲明中說：“在HackerOne，默認披露是我們的價值觀之一。盡管這不是我們的客戶和黑客的強制性要求，但我們鼓勵每個客戶都考慮一下。通過分享我們容易受到攻擊的地方，其他防御者可以學習，道德黑客可以從中學習，最終我們都更加安全。”
• 2020年排名發生較大變化。2020年貝寶(PayPal)獎金總額超越了優步(Uber)，位居第二，后者降到了第三位。自2018年8月與HackerOne共同發起漏洞賞金計劃以來，Paypal迄今已支付了280萬美元，其中最高獎金為3萬美元(自2012年以來的累計總獎金為600萬美元)。

GitHub和Mail.ru都是今年前10名中的新成員。而GitLab則從2019年的第10位躍升至第6位，1月份支付了100萬美元。

• 漏洞響應和賞金支付提速。白帽子黑客最喜歡的漏洞賞金計劃通常有三個特征，報告響應迅速、支付金額高、支付速度快。為了吸引更多高水平白帽子黑客關注，TOP10漏洞賞金項目的漏洞響應速度明顯加快，有五家企業的首次響應時間不到5小時，其中Gitlab的響應速度最快，在1小時內。

從數據統計來看，總賞金排名第二的PayPal的首次響應時間為4小時，平均漏洞獎金賬期為17天，在TOP10中排名靠前，綜合表現堪稱標桿。

PayPal的信息安全工程師Ray Duran近日在博客中寫道：“白帽黑客最好的漏洞提交方式很簡單：有據可依，并證明其影響力。精心編寫的報告有助于減少來回的對話，使我們能夠快速進入補救步驟并更快地獲得賞金。”

賞金支付方面，Github、Twitter和Verizon Media的支付賬期最短，能在接到報告后兩周內打款，其中Twitter打款周期最短，只需要8天，顯著高于平均水平。Uber的打款周期最長，平均需要90天，是Twitter的十幾倍。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文