本周,TippingPoin公司t和3Com公司的安全部门宣布推出一项奖励计划,向提供安全漏洞信息的研究人员和黑客进行奖励。此举,作为Zero Day Initiative活动的一部分,受奖者提供的安全信息如果得到确认,最多可以拿到2000美元的奖金。
最近,安全情报公司iDefens收购了VeriSign公司。该公司也表示要为提供安全漏洞线索的人给予奖励。据TippingPoint机构的安全研究主管David Enderle称,公司推出这项奖励计划,旨在发现技术应用中存在的漏洞,为用户提供更好的安全服务。
他表示:“我们认为,安全研究人员想使他们的工作得到认可,但现在有些研究人员并不是以负责的态度对待这件事。这就使企业和个人处于漏洞风险下之进行工作,直至有关的厂商推出安全补丁。有些安全漏洞数小时内就可以完成,但用户下载却需要更长的时间。”
根据TippingPoint的计划,公司将及时向出现漏洞的公司发去警报,并在向外界公布这一漏洞消息前提前推出补丁。象微软之类的大型公司一直以来反对向提供漏洞信息的人进行奖励,认为这会滋长黑客获得更多的漏洞信息。
iDefense组织主要向大型的商务和政府组织提供安全情报,一直为提供漏洞线索的用户进行奖励。
In-Stat组织的研究员 Victoria Fodale称:“我认为,进行奖励是业内采取的积极措施,ZDI的目标是在发现漏洞时主动地保护企业安全,也这是企业最为关心的事情。”
在近日召开的黑帽大会上,透露漏洞信息也成为讨论的焦点。ISS研究组织的分析师迈克尔·林恩不惜辞职,来透露思科系统公司路由器产品中存在的严重安全漏洞。思科公司已对这一漏洞发了补丁,但有些公司没有下载补丁。林恩称,思科提供的漏洞补丁曾用于思科的路由器。尽管今年4月,思科就进行了修复,但运行老版本的客户仍面临安全的风险。
