LinkedIn公布漏洞奖励计划

随着安全成为网络中越来越重要的因素，各互联网公司纷纷采用各种方法来提高产品安全。漏洞奖励计划就是很多公司针对发布后产品的安全所提出的应对策略。早在2011年，社交网络巨头Facebook就推出了自己的漏洞奖励计划。该公司对发现其网络中安全缺陷的研究人员提供500美元或更高的奖励。近期，Dropbox也推出了类似的奖励计划，旨在集众多相关研究人员的力量来提高产品安全。上周，谷歌刚刚推出针对查找安卓系统漏洞的“安卓安全奖励”计划，对每个漏洞提供最少500美元奖金。近日，LinkedIn也低调公布了自己漏洞奖励计划的一些情况。

一般的漏洞奖励计划都是采用公开或者第三方的服务来进行管理。但是，LinkedIn采用了一种截然不同的方法。从去年10月份开始，LinkedIn开始运行一个私密的奖励计划，用于帮助其安全团队发现并修补一些漏洞。目前，LinkedIn通过该计划已经修补了65个漏洞，支付超过了65000美元的奖金。该公司信息安全部经理Cory Scott表示，通过分享私密型漏洞奖励计划的一些情况，LinkedIn希望能给其他公司一些相关的经验和参考。

Scott提出，LinkedIn之前已经观察到很多漏洞奖励计划中提交的报告质量正在逐步下降。各公司不得不花费更多的人力资源来对报告进行甄别，发掘其中真正有价值的报告。这就造成了大量资源的浪费和效率的降低。与此同时，LinkedIn发现有一批研究人员在不期待任何奖励的情况下，仍坚持进行漏洞的查找和修补工作。于是，LinkedIn才发布了私密性的漏洞奖励计划。该计划以这些高素质研究人员为主要招募对象，也邀请了参与其他奖励计划或者在漏洞报告方面有着很好声誉的研究人员参与其中。通过保证漏洞提交者的范围，LinkedIn一方面可以获得高质量的漏洞报告，另外一方面也给相关人员以物质奖励，鼓励其继续进行安全方面的工作。

该计划目前已经成功运行8个月左右。从现在的结果来看，这种私密性的计划的确能够给应用程序安全团队很大的帮助。公司在过去的8个月中已经支付了超过65000美金，用于用户数据或LinkedIn架构方面的实现和设计漏洞的发现和修复。其中一些漏洞还是应用程序安全方面经常出现的问题，包括跨网站脚本攻击、跨网站请求伪造、SQL注入、认证缺陷、访问控制相关的问题以及服务器端的代码执行方面的漏洞等。

Scott表示，除了实际的漏洞修复，奖励计划其实还能够给公众一个正面的信号——LinkedIn公司一直密切关注安全方面的漏洞，并试图建立一个发现/修复漏洞的良好环境。未来，LinkedIn或许会考虑针对特定测试或者目标而进行公开奖励计划。同时，公司也会加入其他顶尖技术公司的潮流中，利用“众包”等进行漏洞寻找和修复。

感谢魏星对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号：InfoQChina）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群）。