跳动百科

具有奖励的Bug赏金忠诚计划Hacker Plus被Facebook推出

令狐纪芸
导读 优秀的程序员和执行了多少测试都没有关系,软件始终附带错误。最大的科技公司依靠独立的安全专家来找到他们遗漏的错误,并通过官方的错误赏

优秀的程序员和执行了多少测试都没有关系,软件始终附带错误。最大的科技公司依靠独立的安全专家来找到他们遗漏的错误,并通过官方的错误赏

优秀的程序员和执行了多少测试都没有关系,软件始终附带错误。最大的科技公司依靠独立的安全专家来找到他们遗漏的错误,并通过官方的错误赏金计划进行报告。不过,Facebook只是使其寻宝活动更加有意义。

自2013年以来,Facebook一直在运行自己的漏洞赏金计划,为发现其在线服务和应用程序中的错误提供现金奖励。正如ZDNet报道的那样,该社交网络现在通过启动Hacker Plus(一种旨在向我们宝贵的Bug Bounty社区传播更多的感激和利益的忠诚度计划)来增强该计划。

Hacker Plus包含五种奖励。Facebook在其标准赏金奖励支出之上提供乘数奖金。此外,还有每年黑客活动的VIP特权,包括带薪旅行和住宿,能够访问和参与未发布产品和功能的赏金,自定义赃物以及“最终吹牛的权利”,包括研究人员资料的徽章。

Facebook黑客加联赛级别

所有这些新的奖励都与表现挂钩,而且与联盟挂钩。Facebook会将提交“高影响力漏洞”的研究人员放入Hacker Plus联盟,而您在联盟中的地位越高,获得的奖励就越多。联赛分为铜级,银级,金级,白金级和钻石级,其中钻石级提供最多的奖励。不过,要到达那里至少需要提交10个有效的错误,并累积超过3,000分的得分以及大于0.6的信噪比(SNR)。

有一个公式可以根据提交错误的付款达到一定的付款阈值来获得积分。SNR是根据12个月内的漏洞赏金支出数除以上一年的支出数得出的,但同时也要考虑重复报告,不适用的报告和内容翔实的报告。SNR基本上是Facebook试图保持较高的提交质量和较低的重复率的方法。

由于Hacker Plus包含5-20%的支出乘数奖金,因此它肯定会受到安全研究人员的欢迎。反过来,Facebook将受益于打算报告而不是利用发现的任何弱点的黑客对服务的关注。