据国外媒体报道,自冠状病毒暴发以来,“居家令”激发漏洞找茬员极大的热情,微软漏洞悬赏计划支付的金额在过去一段时间呈爆炸式增长。
微软公司当地时间本周二表示,在截至 2020 年 6 月 30 日的 12 个月里,该公司已经花费 1370 万美元奖励产品漏洞发现者,比上一年度同期的 440 万美元多出逾两倍。微软直言,疫情封锁限制措施在此间扮演了极其重要的角色。因为找茬员被迫呆在家里,同时又面临失业风险,于是开始反复推敲微软的代码。在疫情爆发的前几个月里,研究人员参与度明显增强,漏洞报告数量不断增加。
此外,漏洞悬赏呈爆炸式增长还与微软增加编程错误报告途径有关。据微软漏洞悬赏项目负责人杰克 · 斯坦利 (Jarek Stanley)透露,该公司在 2020 年新增六个奖励项目和两个新的研究资助项目,吸引了来自六大洲 300 多名研究人员的 1000 多份合格报告。
这种漏洞淘金热潮也许能够在一定程度上解释,为何微软每月发布的安全补丁一次就能解决 CVE 列出 100 多个的漏洞。然而,也有业内人士指出悬赏计划也许并不可以作为一项健康的长期安全优先指标。Luta Security 公司首席执行官,同时也曾是微软漏洞悬赏计划设计师凯蒂 · 穆苏里斯 (Katie Moussouris)担心企业会走向歧途,过度强调外部漏洞奖励而忽视投入人力和资源来减少漏洞才是立身之本。
穆苏里斯表示,在未来的某个时候,也许会有越来越多的工程师转变成找茬员,只需静待应用程序或系统软件发布,即可寻找漏洞以换取高达 6 位数的回报。更糟的是,其他公司也会效仿微软的做法。问题是,如果悬赏金额远高于公司内部漏洞检测程序员的薪酬时,也许会出现这样一种趋势,即企业会跳过重要的内部安全投资,以及人才不可避免地被分流。
穆苏里斯最后指出,“微软肯定会在内部安全方面进行投资,但像苹果那样将某些漏洞奖金定为 25 万美元甚至超过 100 万美元的趋势,有可能诱使内部安全人员离职,并加大吸引新人才的难度。企业在考虑悬赏漏洞之前,应该做的是评估其防止、发现和修复安全漏洞的内部能力。在内部投资,雇佣更熟练的安全人员,使用更好的工具,并授权一个安全的开发生命周期,比悬赏更能获得事半功倍的效果。”
