歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
抓漏達人!2021年值得關注的5大漏洞賞金平台
2021 / 02 / 22
編輯部
儘管Gartner還沒有專門的Bug賞金或眾包(群眾外包)安全測試魔力象限,但Gartner Peer Insights已經在「APP眾包測試服務」類別中列出了24家供應商。本文為那些希望利用國際安全研究人員的知識和專長來增強現有軟體測試工具庫的人整理了最值得關注的5大漏洞賞金平台:
1. HackerOne
眾多著名創投支持的網路安全公司,HackerOne可能是世界上最著名和公認的漏洞賞金品牌。根據其最新的年度報告,超過1,700家公司信任並採用HackerOne平台來增強其內部應用程序安全測試能力。該報告同樣說,他們的安全研究人員僅在2019年就獲得了約4000萬美元的賞金,並且累計獲得了8200萬美元。
HackerOne因受委辦美國政府的漏洞賞金計劃而聞名,其中包括美國國防部和美國陸軍的漏洞披露計劃。並且像其他一些提供漏洞賞金和漏洞披露程序(VDP)的供應商一樣,HackerOne現在還提供滲透測試服務,該服務由來自全球的安全研究人員共同完成,HackerOne還擁有可靠的安全認證產品組合,包括ISO 27001和FedRAMP授權。
2. BugCrowd
BugCrowd是由網路安全專家Casey Ellis創建,普谝被認為是最具創意和發明性的漏洞賞金平台。 BugCrowd不僅積極推廣傳統的眾包安全測試服務,而且還積極推廣針對IOT、API甚至網路的攻擊面管理提供廣泛的滲透測試服務,在迅速增長的市場上保持領先於其競爭對手。
BugCrowd巧妙的推廣其許多軟體開發生命週期的整合功能,使其客戶可以在開發、安全和運作(DevSecOps)之間更簡單更快速推行工作。
BugCrowd以替商業巨頭操辦漏洞賞金計劃而聞名,像是Amazon、VISA和eBay以及頗負盛名的(ISC)²網路安全教育協會等。為數不少的BugCrowd培訓課程、網路研討會和大學課程讓許多剛接觸資安研究的初學者和客戶端對BugCrowd相當熟悉。
3. OpenBugBounty
OpenBugBounty是名單上唯一的非營利性漏洞披露和漏洞賞金平台。從其Alexa網頁流量排名可以看出,OpenBugBounty即將成功的超越大多數競爭對手。
在其超過1200個賞金計畫中,只要是透過非侵入性的方式,OpenBugBounty允許以協力方式來找出安全漏洞。漏洞程式的創建是完全免費的,並且網站所有者無需向研究人員付款,但鼓勵網站所有者公開感謝研究人員的努力。
OpenBugBounty為A1 Telekom Austria和Drupal等公司運管漏洞賞金程式,到目前為止,該公司目前集結了20,000多名安全研究人員共提交了近80萬個安全漏洞。該平台的相關規範和披露流程都符合ISO 29147標準。
OpenBugBounty還與國家認證和執法機構合作,向他們提供平台的免費使用者介面(API),同時會將漏洞詳細信息保密,除非研究人員向公眾披露其發現。
4. SynAck
在包括Intel Capital和Kleiner Perkins在內的許多著名創投基金的支持下,SynAck於2015年至2019年連續四次被評為“ CNBC Disruptor”公司。SynAck在漏洞賞金平台的排位名列前茅,同時也被Gartner評為排名前25強的新創軟體公司。
SynAck是由美國國家安全機構的著名的安全先驅Jay Kaplan和Mark Kuhr所創立,它提供了一支經過嚴格審查的網路安全研究人員組成的精英團隊,被稱為“紅色團隊”(SRT)。根據SynAck的說法,SRT小組由安全專家組成,這些專家具有經過驗證的背景和可靠的行業經驗。
透過對紅隊進行全面的調查並記錄其所有活動以供將來分析或審查,SynAck成功地將自己定位為可信賴的眾包安全測試服務的領導者。SynAck還與包括Microsoft,AWS和HPE在內的行業領導者成功建立了合作夥伴關係和技術聯盟,顯示出進一步發展的強大潛力。
5. YesWeHack
YesWeHack是2021年評比中的後起之秀,是一家位於歐洲的漏洞賞金和漏洞披露公司,有效地吸引了關注隱私和數據保護的歐盟公司。最近,YesWeHack宣布2020年在亞洲實現250%創紀錄的成長,這表明歐洲新創公司有能力在全球範圍內擴張。
與BugCrowd相似,YesWeHack已做好投資其人力資本的充分準備。去年,該公司啟動了一項培訓計劃,以幫助YesWHack DOJO平台提高漏洞賞金獵人的駭客技能。它提供針對特定安全漏洞的入門課程和培訓挑戰。借助DOJO平台,來自世界各地的安全研究人員可以提高他們的軟體安全測試技能。最終,YesWeHack極具說服力地展示了其吸引法國OVH集團等知名歐洲客戶的能力。
雖然本文僅列出5個漏洞賞金平台,但市場上還有許多其他出色而獨特的平台,其中包括領先於歐洲的白帽駭客網路Intigriti。
漏洞懸賞已開始從純粹眾包安全測試轉變為多合一的網路安全平台,提供經典的滲透測試以及眾多其他服務。如今,很難預測他們的產品在對抗傳統MSSP和網路安全供應商方面將取得怎樣的成功。但是,漏洞賞金無疑創造了具有強大潛力的新市場利基。
儘管開放和免費的OpenBugBounty為賞金計畫帶來了成熟,但正如開源Linux在幾十年前與Microsoft對抗時一樣,後來誕生了市值數十億美元的紅帽公司(Red Hat)。這也說明了持續加入市場戰局的新平台將使漏洞賞金市場變得越來越大,競爭越來越激烈。我們可以期待未來有更多的創投投資和併購交易,以促進眾包安全市場的進一步擴大。
國際消息
漏洞
APP眾包測試服務
HackerOne
BugCrow
OpenBugBounty
SynAck
YesWeHack
Intigriti
最新活動
2024.11.07
2024上市櫃高科技製造業資安論壇
2024.11.08
資安人講堂: 2025必須關注的資安10大趨勢
2024.11.22
2024台灣資安通報應變年會
2024.11.13
漢昕科技 X 線上資安黑白講【駭客迷宮:完美堵住駭客從端點到伺服器的每條縫】
2024.11.14
.NET/Java 安全程式開發達人集訓班
看更多活動
大家都在看
思科緊急修補遭駭客積極利用的 ASA 與 FTD 軟體漏洞
Apple 推出私有雲計算虛擬機,邀請研究人員尋找漏洞
2025年SaaS安全風險報告:90% SaaS 應用程式及AI工具仍未受到管理
2024數位經濟資安趨勢論壇:打造零售、物流、旅遊業資安防護網
思科預測「人工智慧」將成為營收主要來源!基礎建設、網路安全和客戶體驗為關鍵驅動力
資安人科技網
文章推薦
QNAP 修補兩個零日漏洞,用戶應盡速更新
「午夜暴雪」發動大規模網攻,微軟:受害者遍及全球
2024數位經濟資安趨勢論壇:打造零售、物流、旅遊業資安防護網