近期,腾讯安全应急响应中心在官网发布了“通用软件漏洞奖励计划”,宣布将通过现金奖励的方式面向互联网收集第三方通用软件漏洞,奖励计划一期现金总额高达一百万人民币。
其实腾讯从2012年起就率先在国内发起“漏洞奖励计划”,通过奖励的方式收集自身产品的漏洞,并且花费不菲。此次“通用软件漏洞奖励计划”可以看作是对之前的“漏洞奖励计划”的扩充和升级。
据腾讯安全应急响应中心负责人“harite”介绍,今年发生的“OpenSSL心脏出血漏洞”、“Android WebView通用跨站脚本漏洞”、“Bash破壳漏洞”等通用软件漏洞几乎影响所有的大型互联网公司及其用户。腾讯高度重视通用软件漏洞,并且愿意不惜重金借助广大安全专家的力量及时发现和修复漏洞。同时,腾讯还会向漏洞厂商和合作伙伴共享漏洞信息,让他们也及时修复漏洞,***限度地保护用户。
“harite”还表示,安全是一个长期而艰巨的过程,只有依靠广大厂商及安全专家的共同努力,并建立良好的信息共享机制和生态环境,互联网用户安全才能得到***限度的保障。
据悉,国外厂商对通用软件的奖励已经很普遍了。2013年,谷歌宣布启动“开源软件漏洞补丁奖励计划”,现金奖励通用软件的漏洞报告者;微软和facebook随后也联合发布了类似的奖励计划。国内厂商对第三方软件漏洞进行现金奖励,此次还属***。
国内巨头对通用软件安全漏洞的重视,对于安全专家和企业而言,应该是一个双赢的局面。一方面,未来企业或许可以避免再出现类似“OpenSSL心脏出血” 这样巨大的软件漏洞。另一方面,一些本事高强的安全专家也可以通过查找漏洞获得不菲的收入。
