虽然Gartner没有专门为漏洞赏金或众包安全测试绘制魔力象限,但Gartner Peer Insights列出了24家“应用众包测试服务”类供应商。
如果想增强公司现有软件测试武器库,纳入全球安全研究人员的知识和专业技能,那您不妨看看下列5个极具前景的漏洞赏金平台。
网址:https://www.hackerone.com/
作为背后站着众多著名风险资本家的独角兽公司,HackerOne可能是全世界知名度最高、最受认同的漏洞赏金品牌了。
其最近的年报显示,超过1700家公司信任HackerOne平台,放心依托HackerOne增强自身内部应用安全测试能力。报告还宣称,HackerOne的安全研究人员仅2019年一年就挣到了约4000万美元赏金,累积赏金数额更是高达8200万美元。
HackerOne的名声还来自于托管美国政府漏洞赏金计划,包括美国国防部和美国陆军的漏洞披露计划。与其他一些漏洞赏金计划和漏洞披露计划(VDP)类似,HackerOne如今还提供依托全球资深安全研究人员的渗透测试服务。HackerOne的安全认证十分完备,包括ISO 27001和FedRAMP授权。
网址:https://www.bugcrowd.com/
网络安全专家Casey Ellis创立的BugCrowd可能是最具创新性的漏洞赏金平台了。BugCrowd不仅积极推动传统众包安全测试服务,还倡导攻击界面管理和针对物联网、API甚至网络的一系列渗透测试服务,在快速成长的众包安全市场上领先其他竞争对手。BugCrowd还适度推广各种软件开发生命周期(SDLC)集成功能,方便客户高效整合和推动DevSecOps工作流。
Amazon、VISA、eBay等行业巨头,以及备受尊崇的(ISC)² 网络安全教育协会都将漏洞赏金计划交托给BugCrowd。很多安全研究新手也因BugCrowd大学、持续不断的安全网络研讨会和培训而熟知BugCrowd。这个创新平台将其客户的研究人员有机结合了起来。
网址:https://www.openbugbounty.org/
在我们的名单上,飞速发展的OpenBugBounty项目是仅有的一个非营利性漏洞披露和漏洞赏金平台。Alexa排名显示,OpenBugBounty即将成功超越其绝大多数商业竞争对手。
依托1200多个活跃漏洞赏金计划,如果漏洞经由非侵入式方法检测,OpenBugBounty还允许在任意网站上协同披露这些漏洞。在OpenBugBounty上创建漏洞赏金计划是完全免费的,无需支付研究人员酬金,但鼓励至少感谢研究人员的付出,并公开推荐他们。
OpenBugBounty为奥地利电信A1和Drupal等公司托管漏洞赏金计划,有2万多名安全研究人员投身其中,截至目前提交了近80万个安全漏洞。该平台表示,其策略和披露流程遵循ISO 29147标准。
OpenBugBounty还与各国CERT(计算机应急响应小组)和执法机构合作,为他们提供免费API接入平台,同时在研究人员公开披露其漏洞发现之前保密漏洞详情。
网址:https://www.synack.com/
背靠英特尔投资部和凯鹏华盈(Kleiner Perkins)等多家知名风险投资基金,2015年到2019年,SynAck四度蝉联CNBC(美国消费者新闻与商业频道)“颠覆者”称号。SynAck处于商业漏洞赏金平台顶部,也入选了Gartner企业软件初创公司Top 25。
SynAck由安全远见者、前美国国家安全机构雇员Jay Kaplan和Mark Kuhr联合创立,提供经全面审核的网络安全研究人员组成的精英团队“红队”(SRT)。SynAck表示,SRT小组的安全专家背景清晰,行业经验丰富。
由于对红队成员进行详尽全面的尽职审查,并记录其全部活动供未来分析或审核,SynAck成功跻身可信众包安全测试服务领头羊之列。而且,SynAck还与行业领导者建立了合作伙伴关系和技术联盟,包括微软、AWS和HPE,表现出了强劲的成长潜力。
网址:https://www.yeswehack.com/YesWeHack是2021年的新星。作为欧洲漏洞赏金和漏洞披露公司之一,YesWeHack成功吸引了注重严格隐私与保护数据防护的欧盟公司企业。最近,YesWeHack宣布2020年在亚洲录得破纪录的250%增长率,证明了欧洲初创公司全球扩张的能力。
与BugCrowd类似,YesWeHack也做好了投资人才的准备。去年,YesWeHack启动培训项目,帮助漏洞赏金猎人借助YesWeHack DOJO平台磨练黑客技术。该项目提供入门级课程和专注特定安全漏洞的培训关卡,以及施展身手的训练环境。
全世界的安全研究人员都可以借助DOJO平台磨砺其软件安全测试技术。最后,YesWeHack还展现了吸引法国OVH集团等著名欧洲客户的能力。
除了上述五大漏洞赏金平台,市场上还有其他很多独特而杰出的平台,比如身为欧洲主流道德黑客网络之一的Intigriti。
漏洞赏金计划已开始从纯众包安全测试向综合网络安全平台转型,提供经典渗透测试和大量其他服务。我们目前很难预测漏洞赏金平台相对于传统托管安全服务提供商(MSSP)和网络安全供应商到底有多成功,但是,漏洞赏金无疑开创了极具潜力的新型市场定位。
正如几十年前开源Linux撼动微软商业闭源操作系统,随后诞生数十亿美元Red Hat业务,开放自由的OpenBugBounty项目正促进漏洞赏金计划不断成熟。
这标志着漏洞赏金市场在逐步壮大,变得更具竞争力,越来越多的新玩家不断投身其中。我们可以预计,未来将有更多风险资本加入,会出现更多并购交易,推动众包安全市场继续扩张。
注:文章来源于网络。如有侵权,请于后台联系,做删除处理,感谢您的支持。
河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的,提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案,业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块,各版块相互独立又相辅相成,完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。
公司:河北镌远网络科技有限公司
地址:河北省邯郸市丛台区中华北大街193号慧谷大厦14层
