开放式臭虫赏金项目的兴起

你能想象一个拥有近50万份提交材料和1.3万名研究人员的全球漏洞赏金平台在不消耗风险资本家一分钱的情况下启动吗？如果没有，这个成功的故事是给你的。

曾经飞速发展的臭虫赏金行业如今似乎不是最好的状态。虽然知名的安全研究人员正在谈论他们在领先的商业漏洞赏金平台上遇到的越来越多的障碍，但后者正试图将自己重塑为“下一代渗透测试”或类似服务。你可以判断他们会有多成功。

慷慨的风险基金已经投入了数百万美元用于快速支出的漏洞奖励初创公司，这些公司还没有取代管理渗透测试（MPT）服务（正如一些人所宣称的那样）。然而，这些初创公司积极提高了笔试服务在全球市场上的性价比。

在商业漏洞赏金平台未来的不确定性中，非营利的开放漏洞赏金项目在2019年的年度报告中展示了相当可观的增长和吸引力：

就在2019年，基于ISO 29147的非商业性漏洞赏金平台报告如下：

• 203,449共报告了安全漏洞（每天500个），同比增长32%
• 101,931网站所有者修复了漏洞，显示30%与前一年相比的增长
• 5,832新的安全研究人员加入了该社区，使研究人员和安全专家的总数达到13,532
• 383新的臭虫奖励计划由网站所有者创建，现在提供 657 项目总数超过1,342要测试的网站

如今，Open Bug Bounty已经拥有680个Bug奖励，为来自50多个国家的安全研究人员提供货币或非货币报酬。奥地利电信（Telekom Austria）、Acronis或联合域名（United Domains）等跨国公司以开放式漏洞奖励（Open bug Bounty）方式发放漏洞奖励。

在开心的网站所有者中，他们感谢研究人员通过该平台进行协调和负责任的披露，可以找到戴尔、宜家、Twitter、Verizon、飞利浦、一些政府机构和国际组织、一些法学院和律师事务所，甚至美国律师协会（ABA）和#8211；但不要把它和喝啤酒混为一谈。

最初，Open Bug Bounty在任何网站条件下接受XSS、CSRF、不当访问控制和其他安全问题的提交，以严格非侵入性测试、协调披露和遵守其行为准则：

2019年，情况发生了变化，任何人都可以在不收取任何费用或佣金的情况下为自己的网站发起漏洞悬赏，所有13000名研究人员都可以访问：

Open Bug Bounty后来宣布使用新的工具和仪器增强现有的DevSecOps集成，并使用Jira和Splunk补充现有的SDLC集成。

有趣的是，2019年的报告还提到，网络安全公司对与该项目合作甚至收购该项目的兴趣越来越大，但它明确表示，该平台将始终保持其开放性和完整性。

我们设法获得了Open Bug赏金团队对该项目未来的独家采访：

你如何看待2020年的开放式臭虫悬赏？
我们将通过添加新功能、选项和集成来实现不懈的扩展。我们认真听取社区的意见，并尝试实施所有对网站所有者和安全研究人员有益的改进。在构建新功能时，敏捷性、简单性和可靠性都是我们的首要任务。

你打算与商业漏洞赏金项目或网络安全公司合作吗？
我们愿意接受有助于我们改进项目的提议，为网站所有者和安全研究人员保持一个开放和舒适的地方，这是由尊重和公平管理的。

你是在寻求风险投资还是捐款？
我们是一小群网络安全爱好者，把业余时间花在家庭生活和工作之间的项目上。目前，我们对工作量感到非常满意，甚至设法更新了设计，使其更加明亮和愉快。我们故意不接受捐款，也不展示商业广告，因为我们的社区首先是由一个保护网络的梦想驱动的。

你对网络安全行业的影响有多大？
我们的研究人员和网站所有者可能是回答这个问题的最佳人选。在我们这边，我们看到越来越多的网络安全专业学生从开放式漏洞奖励开始实践，软件开发人员帮助他们的同龄人维护更好的安全，专业漏洞猎手寻求商业漏洞奖励平台更透明的替代方案。我们推动对应用程序安全的关注，推动OWASP项目，并努力提高网站所有者和软件开发人员的全球网络安全意识。

你是否认为商业漏洞赏金平台是你的竞争对手？
不，我们宁愿以某种方式互补。就像开源软件和商业软件一样。他们的理念完全不同，但他们和谐共存，彼此增值。市场上的产品越多，消费者和其他参与者的境况就会越好。