五角大楼的赏金猎人行动过发现超过100个安全漏洞

　　之前我们曾经报道过Google公司组建了自己的Android项目漏洞猎捕团队。这一做法在现在看来,可以说是非常成功的。成功之处在于,公司能够及时对发现的漏洞进行修复,同时给发现漏洞的员工,提供丰厚的奖金。从另一个侧面来说,这也在一定程度上增强了员工工作的积极性。在过去几年的时间里,我们同样也见到了很多IT企业都建立了自己的漏洞猎捕团队,例如IT巨头Facebook和Microsoft两家公司。现在看来,这一做法确实会给公司带来很大的收益。

　　那么问题来了,对于美国,这一特别重视信息安全的国家来说,是不是也有必要为*机构组建这样的一支团队,来维护*网络系统的安全呢?很明显,这非常必要。近日,根据五角大楼发表的一份声明显示,美国安全部门已经启动了自己的漏洞猎捕项目。今后,相关的安全工作人员将不只是负责*政务网站的维护,更多的是要关注其整个网络系统中的漏洞情况,及时发现并进行修复。在今年4月18日-5月12日期间,美国国防部(Departmnet of Defense)就曾对上述的政务网站进行过测试。

　　在这项测试中,除了有美国国防部参与外,还有一些IT企业也加入了进来。HackerOne,就是其中之一,这是一家来自硅谷的IT企业,负责安全报告的发送和接收的管理工作。据测试报告显示:有1410名IT人员参与了这项测试工作,共发现了1189个安全漏洞,其中的138个漏洞被证实是真实存在的。发现漏洞的相关人员也因此获得了总数为15万美元的奖励。

　　到底这样一个漏洞猎捕团队能够发挥多大的作用呢?美国国防部指出,在该项目启动仅仅13分钟后,他们就接到了关于发现第一个漏洞的报告。由此可见,这样的团队有着十分高效的工作效率。但其中也不乏一些想要滥竽充数的人员存在。他们急于想要参与到项目中来,为的是拿到丰厚的奖金,而忽视了自己的工作质量,丝毫没有顾及到,自己的团队可能会因为个人的工作失误而遭到相关部门的起诉。

　　起初,受到测试影响的网站还是少数,但随着项目的进行,工作量的加大,有大量的网站将会受到影响。但美国国防部相关负责人仍然表示,今后,他们将会扩大这一项目涉及的范围,对更多部门的网络系统进行测试,这一做法是出于维护信息安全的角度考虑的。同时,他还说到,类似这样的项目的开销可能会很大,但它们却是简单高效的。这对参与到项目中的每一个人来说,都是一个双赢的选择。