Adobe邀请其在线服务中的帮助寻找漏洞

Adobe Systems推出了一项新计划,以鼓励安全研究人员查找和报告公司网站和其他在线服务中的漏洞。

与Google,Mozilla,Facebook或Twitter之类的公司针对其网络媒体资源中的漏洞支付金钱奖励不同,Adobe的计划仅保证公众对此类贡献的认可。

Adobe安全计划经理Pieter Ockers表示:“在Adobe在线服务或网络资产中发现Web应用程序漏洞的猎物猎人现在可以私下向Adobe披露此问题,同时提高其HackerOne信誉评分。” 博客文章 星期三。

HackerOne是一个在线平台,公司可以用来接收和管理漏洞报告,而无需构建自己的自定义系统。该平台已被包括Dropbox,Twitter,Yahoo,CloudFlare,Vimeo和Airbnb在内的许多公司使用,其中一些公司还为报告给他们的错误提供了赏金。

Ockers所指的声誉评分是一项相对较新的功能,该功能于10月推出,该功能基于在HackerOne上拥有帐户的研究人员根据所提交论文的质量和准确性进行排名。这使使用该平台的公司的安全响应团队可以更轻松地发现可能有效的报告。

漏洞协调程序因吸引了希望增加其在线配置文件的非熟练bug猎手吸引了许多“背景噪音”而闻名。这迫使安全团队仔细筛选大量虚假报告。平均而言,Facebook通过自己的错误赏金计划在收到的每20个提交中发现一个有效错误, 根据公司发布的数据。对于HackerOne托管的程序,平均费用约为五分之一, 该平台的维护者去年表示.

在过去的几年中,Adobe设法将其在安全研究社区中的查看方式从难以与之合作的供应商转变为对产品安全性非常重视的供应商。该公司通过重写旧代码,实现自动更新并在其Windows版本中构建安全沙箱功能,为加强Adobe Reader和Flash Player这两个最广泛使用和最常受攻击的产品做出了巨大的努力。

像Microsoft一样,该公司在历史上一直依靠其桌面软件产品的普及来吸引安全研究人员的注意力,而不是为漏洞研究提供经济诱因。 Adobe过去曾辩称,它会以其他方式奖励研究人员,例如通过非正式地向提供有偿自由职业者的合作伙伴和客户推荐他们。

从其新的HackerOne程序来看,尽管公司将其资源集中在Adobe Marketing Cloud和Adobe Creative等软件即服务产品上,但其Web属性的安全性日益重要,该公司在漏洞悬赏方面的立场保持不变。云。

当布拉德·阿金(Brad Arkin)于2013年4月担任Adobe首席安全官的新职位时,他说公司托管服务的安全性 将是重中之重。那年晚些时候,该公司不得不处理 大而令人尴尬的数据泄露 攻击者窃取了其若干产品的源代码,以及数百万客户的帐户ID,密码和加密的信用卡数据。

版权© 2015 IDG通讯,Inc.