CNET科技资讯网2月11日国际报道 Google为了鼓励安全研究人员抓Chrome浏览器的安全漏洞,宣布凡是找到程序错误就给500美元赏金。但部分专家表示,奖金太低,对老练的研究人员不具吸引力。
根据Google上周宣布的“实验性”奖赏方案,凡是在Chrome程序代码中发现特定有趣、不寻常的安全漏洞者,给奖金500美元;发现特别严重或刁钻的漏洞则致赠奖金1,337美元。
Mozilla也提供500美元奖金,给找出Firefox浏览器、Thunderbird电邮程序或Mozilla套装软件安全漏洞的研究员。
WhiteHat Security CTO Jeremiah Grossman认为,Google的计划可能带动一股趋势。他说:“如果研究人员纯粹对奖金有兴趣,绝对会追求最高额奖赏。但如果你只是乐在其中,抓错的同时又有钱可拿,何乐不为。我长久以来建议微软也这么做,但他们觉得这涉及道德上的问题。”
微软坚持不给奖金的立场。
微软高可信度电脑计算经理Dave Forstrom说:“微软不犒赏安全漏洞信息的提供者。我们不认为给酬劳换取安全漏洞信息是协助保护用户的最佳方式,也不认为这能助长一个健康的生态系。”
Cigital CTO Gary McGraw认为,付酬劳给专业品保(QA)人员和渗透测试者,比用小钱奖励一般用户协助抓漏洞好。他说:“杰出的专业测试者不会受这么低的奖金吸引--或许青少年会为了赚啤酒钱而做。”
独立安全评估公司(ISE)资深研究员Charlie Miller更直言:“我认为这很荒谬,简直是侮辱人。奖金太低。”
Miller认为,软件厂商是应该在外部研究人员找出他们商用软件的安全漏洞时,给予报酬,但Google提供的奖金远不如VeriSign iDefense的安全漏洞计划,以及3Com旗下TippingPoint部门的零时差计划(Zero Day Initiative,ZDI)。
他说:“如果我真的找到一个Chrome的安全漏洞,我可能卖给ZDI,赚个2,000美元,他们最后还是会通报给Google知道,那么我又何必将就于Google的500美元?这不合理嘛。”
ZDI计划负责人Pedram Amini拒绝透露安全漏洞悬赏计划的确切奖金金额,只承认“平均而言是Google奖金的十倍以上”。
iDefense Intelligence总监Rick Howard表示,Google的悬赏计划跟iDefense支付的奖金相比偏低,但他认为Google的计划应会成功。
针对500美元是否不足以吸引安全人员找漏洞的问题,Google安全团队(Security Team)成员Chris Evans则在电子邮件中指出:“这项计划经过谨慎的设计,希望让各式各样的程序漏洞(bugs)都符合给奖条件,并且让研究员更容易参与。例如,我们未必需要一份可行的范本程序(exploit),这通常比找漏洞难得多。”
用户评论