当前位置: 首页 >数码 > 内容

苹果披露漏洞奖励计划发布官方规定

数码
导读 今年早些时候,在拉斯维加斯的黑帽安全会议上宣布了这一举措后,苹果公司今天正式向所有安全研究人员开放了其漏洞赏金计划。直到今天,苹果...
2022-06-14 22:56:14

今年早些时候,在拉斯维加斯的黑帽安全会议上宣布了这一举措后,苹果公司今天正式向所有安全研究人员开放了其漏洞赏金计划。

直到今天,苹果只为选定的安全研究人员运行基于邀请的bug bounty计划,并且只接受iOS安全bug。

从今天开始,该公司将接受更广泛产品的漏洞报告,其中也包括iPadOS、MacOS、TVOS、WatchOS和iCloud。

此外,根据漏洞链的复杂程度和严重程度,该公司将最大漏洞赏金从20万美元提高到150万美元。

为了使其成为官方,苹果今天还在其网站上发布了一个新页面,详细介绍了bug bounty计划的规则以及研究人员根据他们提交的漏洞获得的奖励细节。

规则相当严格,为获得最高奖励设置了很高的门槛。要获得最高奖和各种奖金,科研人员必须提交明确的报告。包括:

新颖、影响多个平台、最新软硬件、影响敏感组件的安全漏洞,将使研究人员有更大的机会获得150万美元的奖金。

测试版发现的漏洞也得到了高度肯定。苹果表示,将在测试版报告中任何错误的定期支付中增加50%的奖金。

测试版中的错误受到高度重视,因为这些错误报告允许苹果在其软件的生产版本到来之前修复重大安全缺陷,这些缺陷将影响数十亿设备。

苹果还将为回归错误支付50%的奖金。这些是苹果之前在旧版本软件中修补的bug,但在后来的时间里,它们被意外地重新引入到代码中。

允许零点击或一键攻击的漏洞会给研究人员带来最大的资金;然而,苹果公司要求这些类型的提交完整的开发链。

如果其中一次攻击同时使用了三个bug链,研究人员将不得不提交一个包含所有三个bug的完整开发链,而不仅仅是一个——如果他们想获得最大回报的话。

https://t.co/frSE5ZH8yb.twitter.com/H6ps9txZKc的照片

Jamf首席安全研究员、苹果安全专家帕特里克沃德尔(Patrick Wardle)今天在接受ZDNet采访时表示:“正如一些人所指出的那样,在可交付成果方面,标准相当高。

沃德尔说,“bug bounty计划的最大挑战之一是过滤掉所有低于标准的报告,并知道什么是真实/有效的bug以及该bug可能产生的影响。”

因此,需要一种利用来把责任推给研究人员。是的,但这也将帮助苹果快速、全面地了解哪些错误应该首先处理,以便(首先)修复。”

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。