找安全漏洞厂商给奖金 有的嫌钱太少有的不认同

CNET科技资讯网2月11日国际报道 Google为了鼓励安全研究人员抓Chrome浏览器的安全漏洞，宣布凡是找到程序错误就给500美元赏金。但部分专家表示，奖金太低，对老练的研究人员不具吸引力。

根据Google上周宣布的“实验性”奖赏方案，凡是在Chrome程序代码中发现特定有趣、不寻常的安全漏洞者，给奖金500美元；发现特别严重或刁钻的漏洞则致赠奖金1,337美元。

Mozilla也提供500美元奖金，给找出Firefox浏览器、Thunderbird电邮程序或Mozilla套装软件安全漏洞的研究员。

WhiteHat Security CTO Jeremiah Grossman认为，Google的计划可能带动一股趋势。他说：“如果研究人员纯粹对奖金有兴趣，绝对会追求最高额奖赏。但如果你只是乐在其中，抓错的同时又有钱可拿，何乐不为。我长久以来建议微软也这么做，但他们觉得这涉及道德上的问题。”

微软坚持不给奖金的立场。

微软高可信度电脑计算经理Dave Forstrom说：“微软不犒赏安全漏洞信息的提供者。我们不认为给酬劳换取安全漏洞信息是协助保护用户的最佳方式，也不认为这能助长一个健康的生态系。”

Cigital  CTO Gary McGraw认为，付酬劳给专业品保(QA)人员和渗透测试者，比用小钱奖励一般用户协助抓漏洞好。他说：“杰出的专业测试者不会受这么低的奖金吸引--或许青少年会为了赚啤酒钱而做。”

独立安全评估公司(ISE)资深研究员Charlie Miller更直言：“我认为这很荒谬，简直是侮辱人。奖金太低。”

Miller认为，软件厂商是应该在外部研究人员找出他们商用软件的安全漏洞时，给予报酬，但Google提供的奖金远不如VeriSign iDefense的安全漏洞计划，以及3Com旗下TippingPoint部门的零时差计划(Zero Day Initiative，ZDI)。

他说：“如果我真的找到一个Chrome的安全漏洞，我可能卖给ZDI，赚个2,000美元，他们最后还是会通报给Google知道，那么我又何必将就于Google的500美元？这不合理嘛。”

ZDI计划负责人Pedram Amini拒绝透露安全漏洞悬赏计划的确切奖金金额，只承认“平均而言是Google奖金的十倍以上”。

iDefense Intelligence总监Rick Howard表示，Google的悬赏计划跟iDefense支付的奖金相比偏低，但他认为Google的计划应会成功。

针对500美元是否不足以吸引安全人员找漏洞的问题，Google安全团队(Security Team)成员Chris Evans则在电子邮件中指出：“这项计划经过谨慎的设计，希望让各式各样的程序漏洞(bugs)都符合给奖条件，并且让研究员更容易参与。例如，我们未必需要一份可行的范本程序(exploit)，这通常比找漏洞难得多。”