与竞争对手相比保持缓慢的步伐后,英特尔终于随着其首次推出而回到了正轨漏洞赏金程序。
该公司为研究人员提供了高达30,000美元的奖励,以暴露硬件漏洞。
3月15日,英特尔在针对公司产品的Cansecwest Security会议上介绍了Bug Bounty计划。
该公司希望激发调查人员认识到故障并直接告知故障,这将有助于英特尔迅速采取行动。该计划还将帮助英特尔立即评估和纠正漏洞。该程序将通过Hackerone进行操作,Hackerone任命来自世界各地的白色帽子,以识别不同硬件,软件和固件中的安全漏洞。
英特尔想感谢调查人员在确定脆弱性方面的努力,因此提出了奖励。
“通过与安全研究社区建设性合作,我们相信我们将能够更好地保护客户”著名的公司的公告。
更棘手,更多的钱
根据Bug Bounty计划的规格,漏洞越困难,白帽从英特尔那里获得的钱越多。该公司在判断脆弱性的威胁的同时考虑了几个组件。
首先,它可以与CVSS 3.0计算器一起估计基本分数。之后,根据安全目的以及特定产品的威胁模型对分数进行修改。从英特尔到赏金猎人的付款将基于这些参数。
为了说明,在英特尔软件中发现的关键脆弱性将等于$ 7,500,而固件中发现的一个将使猎人享有10,000美元。最高的钱将交给那些将确定英特尔硬件中漏洞的人。
在Bug Bounty计划中,有几种产品不允许,并在下面进行详细说明。
英特尔安全计划(称为McAfee)不符合Bug Bounty计划的资格。第三方产品或开源不在有资格的该程序的产品。
英特尔的Web基础架构也不适用于Bug Bounty程序。在采购完成后,最低六个月的最低期限均不允许在该计划中进行任何添加。
如果大量科技公司与英特尔采取相同的主动性,那么Bug Bounty计划将是社区的好消息。为什么?因为这将证明这些公司关心安全性。像Google这样的少数公司已经有个人计划,但是大多数公司与hackerone进行错误赏金计划。
照片:Takuya Oikawa |Flickr
