一个bug到底价值几何？谈bug赏金的方方面面

wangshengrui23

       1Password最近已经将其最高bug赏金由原先的2万5千美元提高至10万美元，此次提价自然是为了进一步激励安全研究人员。另外，谷歌公司去年则为其bug赏金计划总计支付达300万美元。
　　但是，这些数字到底是如何确定的?
　　Bugcrowd公司运营副总裁David Baker认为，如此可观的金额意味着企业已经开始认真考虑安全漏洞在市场上的实际价值。

　　"一个bug到底价值几何?"这无疑是众包安全测试当中最为常见的问题所在，他表示。
　　"答案虽然随着bug赏金项目的逐步成熟而快速演变，但此类项目获得成功的关键所在却从未改变即利用合适的激励金额敦促研究人员进行工作。然而，大多数企业并不太清楚决定赏金具体金额的各类复杂性因素，"Bakers指出。
　　为了解决这个问题，Baker分享了他在制定bug赏金计划时总结出的一些经验，包括如何及何时提高赏金额度，以及企业该如何充分利用自己的赏金项目。
　　千里之行，始于足下:  在对项目进行初步定义时，必须强调获取成功的重要性。首先，至少应明确告知研究人员应该测试什么、不该测试什么这对于获取理想结果而言至关重要。另外，这种明确的区间划分也能够有效控制赏金额度。毕竟作为发起者，企业有必要了解特定漏洞可能带来的损失水平，并据此考虑设置怎样的奖金。
　　定义bug的实际价值:  这是企业在制定项目成功标准时最需要回答的重要问题之一，而具体答案则取决于企业自身的目标乃至安全团队规模。随着越来越多的企业将其业务及安全目标同众包安全计划联系起来，我们发现研究人员参与其中的动机与活跃性皆呈现上升趋势。通过仔细了解并评估潜在漏洞对业务的影响，同时比较市场中的过往案例，企业能够更准确地定义何时哪些特定bug最为重要(事实上，bug的重要度确实会不断变化)。
　　选择合适的时间与价格:  企业的安全成熟度决定着bug的实际价位。毫无疑问，安全成熟度高的企业往往更关注安全流程，因此需要投入更多时间与精力才能找到被其遗漏的bug。在这类项目中，大家最好立足优先级制定赏金计划，但请记住，要给出与付出相符的回报。
　　建立具有竞争力的项目:  目前，bug赏金市场正在快速增长，并导致各项目之间存在激烈的竞争。如果缺少适当的引导，不少企业的项目会缺乏竞争力并导致吸引不到出色的研究人员。除了现金奖励，我们还应考虑大力宣传并发布有趣的目标因为人才也乐于将自己的发现公诸于众。这不仅能够肯定其技能或者知识水平，帮助其所带领的团队及用户了解如何发现bug，同时也能够为个人提供良好的就业机遇及社区影响力。
　　营销的力量:  另外，不要忽视bug赏金项目对于企业自身的营销效果。不少企业利用其bug赏金计划作为展示自身安全水平的机会。提高奖励额度亦能够证明您一直在认真对待企业自身及客户的安全保障工作。