聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
上周五,美国联邦政府总务管理局 (GSA) 下属技术改造服务机构 (TTS) 在 HackerOne 平台上宣布推出漏洞奖励计划。
GSA 是首个推出漏洞奖励计划的联邦民用机构,它愿意为其服务中的严重漏洞奖励支付最多5000美金。然而,只有 GSA TTS 服务的某些项目参与该奖励计划。
去年,GSA 联合 HackerOne 平台推出一个漏洞奖励和漏洞披露计划。研究人员如能从公共数字化系统如 TTS 资产 login.gov、data.gov、cloud.gov 和 vote.gov 中找出漏洞,则会得到300至5000美元的奖励。9月份,HackerOne 通过公开市场竞标流程获得新合同。HackerOne 平台提供的合同期将延长至5年。
TTS 在HackerOne网站上指出,这项奖励计划的范围包括多种服务如 Federalist、data.gov、cloud.gov 和 login.gov。
研究人员如能从开源数据站点 web 发布服务 Federalist 上找到漏洞,则 TTS 根据漏洞的严重程度,支付250美元至5000美元不等的奖金。在该奖励范围内的资产包括federalist.18f.gov、federalist-proxy.app.cloud.gov 和 federalist-docs.18f.gov,以及开源资源(托管在 GitHub 上)18F/federalist、 18F/federalist-builder、18F/federalist-proxy、18F/federalist-docker-build 以及18F/docker-ruby-ubuntu。
对于 Data.gov 而言,漏洞奖励范围是150美元至2000美元,涵盖的网站包括www.data.gov、api.data.gov、federation.data.gov、sdg.data.gov、 labs.data.gov、catalog.data.gov、inventory.data.gov、static.data.gov、admin-catalog-bsp.data.gov、GSA/data.gov 和 GSA/datagov-deploy 资源(也托管在 GitHub 上)。
Cloud.gov 资产上的漏洞也将为研究人员提供相同数额的奖励。这些资产包括 cloud.gov、account.fr.cloud.gov、admin.fr.cloud.gov、alertmanager.fr.cloud.gov、 api.fr.cloud.gov、ci.fr.cloud.gov、dashboard.fr.cloud.gov、diagrams.fr.cloud.gov、 grafana.fr.cloud.gov、idp.fr.cloud.gov、login.fr.cloud.gov、logs.fr.cloud.gov、logs-platform.fr.cloud.gov、nessus.fr.cloud.gov、opslogin.fr.cloud.gov、 prometheus.fr.cloud.gov 和 ssh.fr.cloud.gov。
TTS 将为下列站点中的漏洞支付150至5000美元的奖金:*.login.gov、 https://github.com/18F/identity-idp、https://github.com/18F/identity-sp-sinatra、https://github.com/18F/identity-sp-python、https://github.com/18F/identity-sp-java 和 https://github.com/18F/identity-sp-rails。
TTS 表示,“‘子域劫持’也在受奖励范围内,如果受影响主机名也在范围列表中出现的二级域名范围内。除非被证明能产生进一步的影响,这些报告中所述漏洞也将被认为是低危的。”
联合美国国防部国防数字服务推出的 HackerOne 平台已经推出六个漏洞奖励计划,始于2016年的“黑掉五角大楼”,之后是“黑掉陆军”、“黑掉空军”、“黑掉 DTS”、“黑掉空军 2.0”和“黑掉海军陆战队”活动。
推荐阅读
原文链接
https://www.securityweek.com/us-general-service-administration-launches-bug-bounty-program
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。