美国国防部(DoD)和HackerOne公司最近共同发布了一项漏洞赏金计划,主要是奖励那些成功入侵美国陆军网站,发现漏洞的黑客们。黑客们可以尽情进行安全测试而不用担心遭到迫害了。

这个漏洞奖励计划名叫Hack the Army,实际上最早是在11月11日就公布的。而从今天开始,黑客们就可以登陆网站注册参加第一期的漏洞项目。

原定第一期的参与人数为500人,但国防部称可能会根据情况增加更多参与者席位。

HackerOne没有公布奖金数量,但是公司提到成功攻破美军系统的黑客,能够赚到几千至几万美元的现金(to earn thousands of dollars in cash)。

提高美军系统安全性

不过,HackerOne公司并没有提及期望收到的漏洞类型,但毫无疑问最重要的漏洞应该是那些能让黑客控制系统的远程执行漏洞。

国防部漏洞披露政策(DoD Vulnerability Disclosure Policy)提到,本次的漏洞奖励计划涉及所有面向公众的网站——那些国防部所有,并由国防部运营和控制的网站,另外黑客不应泄露任何发现的相关信息。

Hack the Army项目页面上称:

“这是一次让美军探索安全新方式,也是目前最成功最安全的软件公司采用的实践方案。通过这个项目,美国陆军可以保证其系统和士兵尽可能安全。”

项目的第一阶段从美国东部时间2016年11月30日(周三)中午开始,12月21日17点结束。

安全研究领域更大范围的合作

安全专家认为,这项奖励计划可能会促成整个安全研究领域更大范围内的合作。除了安全研究人员和白帽子、各种黑客之外,美国政府的文职人员和现役军人也是可以参与奖励计划的。而Hack the Army计划也将引入到上文提到的漏洞披露政策中。

Rapid 7高级安全研究经理Tod Beardsley则说:“这项政策对于开放的安全研究发展会有很大帮助,我对此持乐观态度。”“这项政策真正认识到了安全专家在漏洞发现和披露方面的价值,而不是因为其好奇心就判定他们有罪。”

“这项政策的普及,对于安全研究行为的合法化而言是很重要的一步。各种不同规模的企业组织,也能够认识到‘看到什么就说什么’这样的理念,对于互联网安全是有积极意义的。”