2月9日訊 美國總務(wù)管理局(U.S. General Services Administration，GSA)跟隨聯(lián)邦政府機(jī)構(gòu)的大潮流，招募白帽子黑客尋找漏洞，以此提高系統(tǒng)安全性。

今年早些時(shí)候，GSA的技術(shù)改革服務(wù)部(Technology Transformation Service，TTS)在開源GitHub項(xiàng)目上發(fā)布草案征集，期望潛在的資深廠商幫助GSA建立自己的漏洞懸賞計(jì)劃。TTS要求有關(guān)各方1月30日之前提供反饋意見。

漏洞懸賞的概念非常簡單：雇用或未發(fā)現(xiàn)漏洞的白帽子黑客給予獎(jiǎng)勵(lì)。這是眾包網(wǎng)絡(luò)安全概念，只是方式更正式、更可信。

漏洞懸賞計(jì)劃 — 要求安全研究人員尋找組織機(jī)構(gòu)網(wǎng)絡(luò)或系統(tǒng)內(nèi)部的漏洞，機(jī)構(gòu)給予相應(yīng)的獎(jiǎng)勵(lì)。自美國國防部和美國陸軍取得初步成功后，該計(jì)劃在聯(lián)邦政府機(jī)構(gòu)中日益興起。

草案征集的執(zhí)行工作說明(Performance Work Statement，PWS)指出，“作為關(guān)注安全的重要組成部分，TTS需要采購預(yù)先存在的商業(yè)漏洞懸賞Saas(軟件即服務(wù))平臺(tái)服務(wù)，從而啟動(dòng)并管理TTS漏洞懸賞計(jì)劃”。

GSA — 尤其18F數(shù)字服務(wù)團(tuán)隊(duì)，相當(dāng)長時(shí)間以來，一直有建立漏洞懸賞計(jì)劃的想法。18F團(tuán)隊(duì)早在2016年早些時(shí)候就開始研究漏洞懸賞試點(diǎn)，以此為其它機(jī)構(gòu)提供服務(wù)，但具體項(xiàng)目似乎仍處于初期規(guī)劃階段。

根據(jù)這份懸賞計(jì)劃，TTS將借助承包商的幫助，邀請研究人員尋找TTS Web應(yīng)用程序的漏洞。承包商還需對報(bào)告的漏洞進(jìn)行分類，為發(fā)現(xiàn)有效漏洞的研究人員支付獎(jiǎng)金，并解釋駁回的原因。

GSA在GitHub上提供建議價(jià)格：低危漏洞300美元，中危漏洞1000美元，高危漏洞5000美元。合同為固定價(jià)格合同，基礎(chǔ)期限為3個(gè)月，預(yù)計(jì)每個(gè)月的獎(jiǎng)金支出：6個(gè)有效低危漏洞、1個(gè)有效中危漏洞和1個(gè)高效高危漏洞。GSA表示，合同另外還有2個(gè)為期3個(gè)月的選擇期。另外，感興趣的承包商向GSA提供使用其懸賞平臺(tái)的報(bào)價(jià)。

TTS基本上會(huì)指定較大的資深漏洞懸賞廠商，這樣的廠商已經(jīng)建立了安全研究人員庫，有利于發(fā)現(xiàn)更多的漏洞。

草案執(zhí)行工作說明指出，考慮到漏洞懸賞計(jì)劃的特性，提供漏洞懸賞SaaS平臺(tái)(Bug Bounty SaaS Platform，能實(shí)現(xiàn)TTS的目標(biāo)，并為政府帶來最大價(jià)值)的承包商必須具有良好的信譽(yù)。漏洞懸賞SaaS平臺(tái)的提供商越知名，在業(yè)界擁有的安全研究人才就越多。漏洞懸賞SaaS平臺(tái)提供商網(wǎng)絡(luò)的安全研究人員群體越大，在TTS Web應(yīng)用程序上發(fā)現(xiàn)漏洞和技術(shù)問題的機(jī)率就越大。

GSA表示，已經(jīng)開始審批行業(yè)內(nèi)三大知名承包商。大量漏洞懸賞平臺(tái)公司近年不斷發(fā)展壯大，例如HackerOne(運(yùn)作國防部和美國陸軍的項(xiàng)目)、Synack和Bugcrowd，但GSA未表明聯(lián)系了哪家公司。

HackerOne是唯一一家在該GitHub項(xiàng)目上公開提交問題的公司。HackerOne的首席技術(shù)官Alex Rice 指出，TTS正在展現(xiàn)最佳做法，其它聯(lián)邦政府的機(jī)構(gòu)可能輕松如法炮制，從發(fā)布漏洞披露政策開始。

Rice表示， “一旦完成了其中一個(gè)漏洞披露計(jì)劃，漏洞懸賞項(xiàng)目便能以相對簡易的程序進(jìn)行。TTS本質(zhì)上是在構(gòu)建藍(lán)圖，供其他人實(shí)施這些項(xiàng)目提供向?qū)А?rdquo;

Rice指出，此外，TTS在GitHub上公開采購，并給予最大程度的靈活性，這是在構(gòu)建人性化模式，供合作機(jī)構(gòu)獲取、調(diào)整并實(shí)施計(jì)劃，以滿足自身需求。

Rice還表示，“TTS是先驅(qū)，通過聯(lián)邦承包的方式開辟新天地。18F和國防部的經(jīng)驗(yàn)教訓(xùn)使得這些項(xiàng)目可為每個(gè)政府機(jī)構(gòu)所用。因此，我認(rèn)為聯(lián)邦政府其它機(jī)構(gòu)(尤其具有與采購相關(guān)總開銷的機(jī)構(gòu))很快會(huì)加以重復(fù)利用，并會(huì)利用現(xiàn)有的好處。相比更傳統(tǒng)的方法，政府將進(jìn)一步強(qiáng)化眾包安全的成本節(jié)約方式。”

Rice認(rèn)為，就像18F和TTS開發(fā)的其它許多項(xiàng)目一樣，該漏洞懸賞計(jì)劃最開始也許只是單從機(jī)構(gòu)利益出發(fā)，但其真正的價(jià)值是作為其它美國政府機(jī)構(gòu)的PoC。

他表示，真正的好處是，它會(huì)帶來可重復(fù)的過程，幾乎任何機(jī)構(gòu)都能通過承包的方式實(shí)施這樣的計(jì)劃。這項(xiàng)提議的深意在于，如果經(jīng)歷了該過程，沒有必要重復(fù)執(zhí)行這項(xiàng)工作。”

TTS預(yù)計(jì)將在4月6日左右確定承包商。獲批的承包商將在10天內(nèi)開始實(shí)施計(jì)劃。