安全港计划：避开法律风险 保护善意黑客

漏洞奖励项目越来越普遍，公营和私营公司都纷纷纳入自由安全研究员来发现自身系统中的漏洞，帮助守护宝贵的客户数据。HackerOne 2018年报告指出，仅过去一年里新漏洞奖励项目就暴增了54%，有效报告更是创纪录地达到了80%。

然而，尽管项目有所增长，披露标准和具体实施方法却各家公司大有不同。这种标准的缺乏使善意黑客背负了潜在的法律责任，也使公司企业面临了本可避免的巨大风险，就好像Equifax数据泄露事件所揭示的那样。

为确保漏洞披露产业持续发展壮大，公司企业需以通俗易懂的语言标准化报告规程及策略，保护善意黑客。通过昭示道路规范，行业也能趟出一条安全的康庄大道。

防止漏洞外泄

让公司企业给黑客付钱似乎有违直觉，但生态系统是共生的，而且，这种方法确实有效果。在黑客的帮助下，公司企业的各个系统能够享受到全方位多角度的持续测试，发现关键漏洞的自由安全研究人员也能得到报酬。

想要确保系统迈向堵上报告漏洞之路，公司企业需要采取一些关键措施，其中就包括建立漏洞披露项目(VDP)。VDP为黑客提供了快速报告漏洞的安全通道，公司内部专家团队也可以更快分类和缓解问题。

作为VDP的延伸，安全港条款为漏洞奖励项目提供了具体的指导和规范。几家大公司，比如Dropbox和通用公司，就设置了此类策略，但大多数公司企业都没有。事实上，HackerOne的调查显示，93%的福布斯全球2000强企业都没有供研究人员上报漏洞的通道。因此，黑客无法确信自己直接与公司合作会不会惹上民事或刑事诉讼，只有完全出于好意不求回报的黑客才敢报告漏洞了。

在缺乏安全港条款的情况下，黑客固然身负风险，但今天如火如荼的漏洞奖励经济依然提供了大把机会。毕竟，时间就是金钱，而且这还是个卖方市场。在有机会为公开提供奖赏和保护的公司干活的时候，自由安全研究人员是没有动力给缺乏恰当保护的公司企业报告漏洞的。面对这种尴尬的情况，有些黑客可能就直接不报告漏洞，甚至可能会选择在暗网这个数据和远程控制热销的市场发布信息，或者公开披露漏洞以羞辱涉事公司企业，让其他黑客纷纷利用该信息了——就好像2017年微软遭遇的那样。

平衡风险和回报

对公司企业而言，安全港就是个权衡操作，让黑客可以更公开地与其系统协作，换来适当的保护。目前，安全港处在“体会言外之意”的状态。虽然很多公司实际上不会起诉好心报告漏洞的黑客，但也有公司不想失去在事情失控时提起诉讼的权利。

公司企业需通过撰写清晰的条款为黑客提供广泛的保护来正式形成安全港保护。这么做很合算，因为漏洞奖励的花销远少于缓解数据泄露的开销。HackerOne报告中陈诉的关键漏洞平均奖金是2041美元；波耐蒙研究所调查研究的数据则显示数据泄露平均损失为362万美元。经济账一目了然。

通过在现有漏洞奖励项目间创建通用语言，使黑客不用在项目间频繁变动与转换，Disclose.io之类现有项目有助于标准化安全港条款。不过，安全港条款也并非全无风险，公司企业和黑客双方均承担有各自的风险，需采取一些措施让安全港得到更广泛的采纳。

添加易于接受的常用法律用语以管理披露项目是公司企业推动安全港采纳的最佳方式。通过使用简单易懂的措辞进行公示，公司企业可声明不会对指定安全范围内的黑客提起法律诉讼。

具备较高曝光度、成熟漏洞项目和高度响应能力的知名软件公司，比如Dropbox和Mozilla，在安全港项目上走在前列，而整个漏洞披露产业都将受益。

2018 HackerOne 报告：

https://www.hackerone.com/sites/default/files/2018-07/The%20Hacker-Powered%20Security%20Report%202018.pdf

Disclose.io项目：

https://disclose.io/

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。