苹果已正式启动全新漏洞提交奖励计划,奖金最高可达 150 万美元

in 网站建设
关注公众号【好便宜】( ID:haopianyi222 ),领红包啦~
阿里云,国内最大的云服务商,注册就送数千元优惠券:https://t.cn/AiQe5A0g
腾讯云,良心云,价格优惠: https://t.cn/AieHwwKl
搬瓦工,CN2 GIA 优质线路,搭梯子、海外建站推荐: https://t.cn/AieHwfX9

近日,国际手机制造商苹果公司正式面向所有安全领域的开发者启动了其最新的漏洞提交奖励计划。苹果将奖金上限从 20 万美元上调到了 150 万美元,具体能获得的奖金将按照漏洞利用链的复杂及严重程度来确定最终数额。

苹果安全工程与架构负责人 Ivan Krstić 在今年 8 月举行的美国黑帽安全大会上曾公布过这项新计划。在此之前,苹果从 2016 年开始施行的漏洞提交奖励计划,是定向邀请制而不是全面开放的,并且只接受提交 iOS 系统相关的安全漏洞。也许是受到旧奖励计划奖金不够高的影响,过去开发者们对提交漏洞并不是非常积极。

Apple Security Bounty.png

在新的漏洞提交奖励计划中,接受安全漏洞提交所覆盖的范围已扩展至更多苹果相关产品,其中包括 iPadOS、macOS、tvOS、watchOS 等系统以及 iCloud。为了正式说明相关细则,苹果在其官方网站上专门发布了一份新的说明文档,详细介绍了其漏洞提交奖励计划的每项规则,并列出了每一类安全漏洞所对应的奖金范围。

根据说明文档来看,新计划的各项要求均较为严格,最高奖励的门槛设置得非常高。开发者们要想获得高额奖金和各种不同的奖项,就必须要提交
描述清晰、细节明了的漏洞报告。

完整报告所需要的内容包括以下这些:

报告那些「一次点击」甚至是「无需点击」就能发动的漏洞攻击,可为提交者带来大量奖金,但苹果针对这些漏洞报告会要求将完整的漏洞利用链一并提交上来。这些漏洞的报告需要额外包含以下内容:

苹果安全团队还对具有以下特性的安全问题格外感兴趣:

报告上述相关的漏洞,就有更大的机会赢得最高 150 万美元的奖金。目前,奖金最高的漏洞是「无需用户介入即可发动的网络攻击」类别下的「Zero-click kernel code execution with persistence and kernel PAC bypass」漏洞,其奖金金额为 100 万美元。

此外,苹果对测试版的产品中出现的漏洞也非常重视,提交测试版产品漏洞的开发者将有机会在常规奖金之外,再获得最高 50% 比例的额外奖励。这是因为这些漏洞的提交可以帮助苹果在其相关软件正式发布之前,就先修复好那些致命的漏洞并改善系统安全性,从而避免成千上万的苹果用户以及数十亿的苹果设备遭受损失。

对于那些在旧版本软件中已经修复,但在后续版本软件中又重新出现的漏洞,苹果同样也会给予最高 50% 的额外奖励。

如果一次攻击利用了三个安全漏洞,那么提交者就必须要在漏洞报告中将涉及全部安全隐患的漏洞利用链都附上,否则将无法获得最高奖励。

据相关的安全专家介绍,漏洞提交奖励计划的实施难点,在于如何界定有效与无效漏洞的标准,明确漏洞所造成的真实影响,以及如何过滤掉所有低于设定标准的次要漏洞报告。

尽管一项「漏洞提交奖励计划」其实是把责任间接交给了安全领域的开发者们,但这也确实能让苹果的安全团队能够以更快的速度发现这些漏洞,为其修补工作安排优先级,并集中精力修复那些影响最大、最关键的安全漏洞,消除潜在的安全隐患。对于苹果来说,要想全面地推行这项新计划并改变其在安全领域开发者们心中的刻板印象,或许还要花费更多的时间。

关注公众号【好便宜】( ID:haopianyi222 ),领红包啦~
阿里云,国内最大的云服务商,注册就送数千元优惠券:https://t.cn/AiQe5A0g
腾讯云,良心云,价格优惠: https://t.cn/AieHwwKl
搬瓦工,CN2 GIA 优质线路,搭梯子、海外建站推荐: https://t.cn/AieHwfX9
扫一扫关注公众号添加购物返利助手,领红包
Comments are closed.

推荐使用阿里云服务器

超多优惠券

服务器最低一折,一年不到100!

朕已阅去看看