新型Mac恶意软件攻击美国国防行业-流量监控软件
[时间:2017-02-09]  [文章来源:上海百络]  [责任编辑:admin]

        GSA的技术改革服务部在开源GitHub项目上发布草案征集,期望潜在的资深厂商帮助GSA建立自己的漏洞悬赏计划。TTS要求有关各方1月30日之前提供反馈意见。漏洞悬赏的概念非常简单:雇用或未发现漏洞的白帽子黑客给予奖励。这是众包网络安全概念,只是方式更正式、更可信。
      漏洞悬赏计划—要求安全研究人员寻找组织机构网络或系统内部的漏洞,机构给予相应的奖励。自美国国防部和美国陆军取得初步成功后,该计划在联邦政府机构中日益兴起。草案征集的执行工作说明指出,“作为关注安全的重要组成部分,TTS需要采购预先存在的商业漏洞悬赏Saas(软件即服务)平台服务,从而启动并管理TTS漏洞悬赏计划”GSA—尤其18F数字服务团队,相当长时间以来,一直有建立漏洞悬赏计划的想法。18F团队早在2016年早些时候就开始研究漏洞悬赏试点,以此为其它机构提供服务,但具体项目似乎仍处于初期规划阶段。

      TTS将借助承包商的帮助,邀请研究人员寻找TTS Web应用程序的漏洞。承包商还需对报告的漏洞进行分类,为发现有效漏洞的研究人员支付奖金,并解释驳回的原因。GSA在GitHub上提供建议价格:低危漏洞300美元,中危漏洞1000美元,高危漏洞5000美元。合同为固定价格合同,基础期限为3个月,预计每个月的奖金支出:6个有效低危漏洞、1个有效中危漏洞和1个高效高危漏洞。GSA表示,合同另外还有2个为期3个月的选择期。另外,感兴趣的承包商向GSA提供使用其悬赏平台的报价。

      TTS基本上会指定较大的资深漏洞悬赏厂商,这样的厂商已经建立了安全研究人员库,有利于发现更多的漏洞。草案执行工作说明指出,考虑到漏洞悬赏计划的特性,提供漏洞悬赏SaaS平台(Bug Bounty SaaS Platform,能实现TTS的目标,并为政府带来最大价值)的承包商必须具有良好的信誉。漏洞悬赏SaaS平台的提供商越知名,在业界拥有的安全研究人才就越多。漏洞悬赏SaaS平台提供商网络的安全研究人员群体越大,在TTS Web应用程序上发现漏洞和技术问题的机率就越大。GSA表示,已经开始审批行业内三大知名承包商。大量漏洞悬赏平台公司近年不断发展壮大,例如HackerOne(运作国防部和美国陆军的项目)、Synack和Bugcrowd,但GSA未表明联系了哪家公司。HackerOne是唯一一家在该GitHub项目上公开提交问题的公司。HackerOne的首席技术官Alex Rice 指出,TTS正在展现最佳做法,其它联邦政府的机构可能轻松如法炮制,从发布漏洞披露政策开始。Rice表示,“一旦完成了其中一个漏洞披露计划,漏洞悬赏项目便能以相对简易的程序进行。TTS本质上是在构建蓝图,供其他人实施这些项目提供向导。”TTS在GitHub上公开采购,并给予最大程度的灵活性,这是在构建人性化模式,供合作机构获取、调整并实施计划,以满足自身需求。TTS是先驱,通过联邦承包的方式开辟新天地。18F和国防部的经验教训使得这些项目可为每个政府机构所用。因此,我认为联邦政府其它机构很快会加以重复利用,并会利用现有的好处。相比更传统的方法,政府将进一步强化众包安全的成本节约方式。”就像18F和TTS开发的其它许多项目一样,该漏洞悬赏计划最开始也许只是单从机构利益出发,但其真正的价值是作为其它美国政府机构的PoC。真正的好处是,它会带来可重复的过程,几乎任何机构都能通过承包的方式实施这样的计划。流量监控软件经历了该过程,没有必要重复执行这项工作。”



    [关闭本页]
  关键词:  流量监控软件,上网行为管理
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证