網絡安全����,速度為先。我們爭分奪秒����,為的是比黑客更早發(fā)現系統(tǒng)漏洞和潛在風險。為此���,我們要善加利用白帽黑客(道德黑客)社群的力量����,幫助我們防患于未然����。
網絡安全,速度為先���。我們爭分奪秒����,為的是比黑客更早發(fā)現系統(tǒng)漏洞和潛在風險�����。為此,我們要善加利用白帽黑客(道德黑客)社群的力量�����,幫助我們防患于未然�。
Zoom憑借漏洞獎金計劃(Zoom Bug Bounty program)的助力�����,與專業(yè)研究人員建立聯(lián)系并將其招募于計劃中���,以協(xié)助我們主動降低系統(tǒng)風險�,為客戶創(chuàng)造更安全的使用環(huán)境�。在過去一年中,該計劃取得了卓越成就���,在此我們將帶您一同對這項計劃進行回顧:
2022年回顧
雖然Zoom每天都會對基礎設施進行測試����,但是我們也難免受到邊緣用例(edge-case)漏洞的影響����。因此�����,我們尋求白帽黑客的支援�����,他們將協(xié)助我們發(fā)現只在特定情況下才會暴露的系統(tǒng)漏洞����。
自設立以來�,Zoom的漏洞獎金計劃致力于招募熟練、高效的研究人員���。2022年����,我們特別向活躍的網絡安全領域人才發(fā)出邀請�,希望為HackerOne計劃擴充力量。我們還將納新目光投向計劃以外����,通過H1-702等行業(yè)活動招募白帽黑客���。
Zoom向辛勤工作的研究人員和準確的漏洞報告給予相應的嘉獎。2023財年����,我們向數百位研究人員發(fā)放了390萬美元的獎勵。自計劃開始以來�����,累計發(fā)放獎金超過700萬美元�����。
除了找出系統(tǒng)的薄弱環(huán)節(jié)以外�����,外部研究人員還以其他形式促進Zoom發(fā)展�����。通過他們提交的報告����,Zoom不僅能夠發(fā)現亟需關注的問題,標記問題的深層原因�����,改善跨部門協(xié)同����,還能找到潛在威脅,防患于未然���?���;诖?���,過去兩年時間里,漏洞獎金報告的解決速度大大提升���。
2023年計劃更新和未來展望
今年年初����,Zoom更新了本財年的漏洞獎金計劃。我們評估了目前計劃內的研究人員����,以確保所有參與者都保持活躍并對項目有所貢獻。我們希望以良好的姿態(tài)開始新的一年�����,這需要我們與高水平�����、高效的研究人員并肩作戰(zhàn)��。
Zoom的Bug Bounty計劃正在執(zhí)行一套全新的漏洞影響評分系統(tǒng)����,以幫助計劃中的研究人員實現最佳工作成果����。我們仍將沿用作為行業(yè)標準的常見漏洞評分系統(tǒng)(CVSS),對報告進行評分��。在此基礎上���,將增加一個漏洞影響評分系統(tǒng)(VISS)作為配套評分系統(tǒng)���。VISS能夠從13個維度逐個分析系統(tǒng)漏洞對Zoom基礎設施���、技術和客戶數據安全的影響。隨著VISS系統(tǒng)投入使用��,漏洞獎金計劃就能夠進一步可靠地衡量系統(tǒng)漏洞的影響����,而非作為系統(tǒng)理論上被攻擊可能性的參考。
未來的道路
過去一年��,Zoom漏洞獎金計劃取得長足進展�����,不論是運行流程���、獎勵還是測試范圍����,都持續(xù)進步并趨于成熟�����。我們非常期待見證2023年新評分系統(tǒng)的成效和研究人員將取得的豐碩成果。Zoom將與各方攜手���,共同保障平臺和用戶的網絡安全����。
閩公網安備 35010202001226號
