向美国政府提供房地产、并购和技术服务的美国总务署 (GSA) 上周推出漏洞奖励计划。
该漏洞奖励计划由HackerOne平台驱动,涵盖由GSA技术改革服务机构 (TTS) 运行的软件中的漏洞和问题。这个新计划发布于TTS一个为政府机构提供数字发展和咨询服务的代表处18F网站上。18F公布了TTS漏洞披露策略的几个月后,该漏洞奖励计划公布,为安全研究人员提供了如何报告漏洞的信息。
目标服务清单包括cloud.gov和多个指定子域名,login.gov和指定子域名,vote.gov, analytics.usa.gov,calc.gsa.gov,micropurchase.18f.gov和18f.gsa.gov。
该漏洞奖励计划邀请从高中生到大型安全企业员工等范围的人员提交研究成果。参与者能因披露的缺陷获得300至5000美元不等的奖励。HackerOne的作用是鉴别提交结果并将有效漏洞报告转给TTS。
18F代表表示,会在通过TTS漏洞奖励计划中收到的结果设立一个涉及大部分TTS所拥有的网站和网络应用程序的永久性计划。
研究人员如果在政府系统中发现漏洞然后披露是很难做的工作,有些人因为试图披露缺陷而被逮捕。不过GSA已承诺不会对遵守策略的专家采取法律行动。
这是首个由民用机构运行的公开漏洞奖励计划,此前国防部曾推出“攻陷五角大楼”和“攻陷陆军”等计划。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。