NCC集团推出赏金为开源安全漏洞修复
信息保证公司NCC集团介绍了一个内部安全修复赏金计划,奖励其顾问以修复开源软件中的漏洞。
与传统错误赏金程序不同,奖励识别软件中的安全漏洞的杀戮,FIX赏金方案侧重于软件中的漏洞。
通过仅在开源软件上观看,NCC旨在促进该软件的安全保证,这可能在安全专业知识和审查方面予以资源。
该公司的安全顾问为每个安全修复获得积分,他们提供由项目的维护者接受并最终合并到主项目中。
没有接受修复的漏洞没有颁发积分,但NCC表示它仍将遵循负责任的披露,并为受影响的项目提供漏洞细节。
所接收的点数取决于开源组件在GitHub平台上的流行度,这是修复赏金方案最初关注的位置。目前,使用公式(GitHub Stars / 10,000)*叉计算点。
假设是那些更受欢迎的项目可能更为普遍,因此在流行的开源项目中修复漏洞更有可能在全球对软件安全产生重大影响。
积分在滚动的基础上进行,对于图表顶部的人来说,一系列奖励。目前,与达到1000万积分的任何人的价值有500英镑的价值,有一个“成熟年度”奖项。
根据该计划的普及和吸收,NCC表示,它可能会期望引入不同价值的额外奖励,以实现不同的成果和积分积累。
“我们已经在安全行业中获得了一些最有才华的顾问,这项计划为他们提供了一个改善软件安全的平台,回馈开源社区并获得努力的奖励,”NCC集团研究总监Matt Lewis说。
“本着合作的精神,我们敦促行业中的其他人采取此模型并进一步复制或进化。我们识别和修复开放源代码漏洞的越多资源越好。“
刘易斯表示,NCC集团欢迎与有兴趣学习更多关于其修复赏金的人的对话。
询问员工是否允许在办公时间内寻找错误和开发修复时,他表示,如果他们未被分配给客户或内部项目工作,则允许他们这样做。“如果他们希望,他们也可以选择在团队中工作,同意在他们之间分享任何积分,”刘易斯说。