OATH BUG赏金计划更新：支出$ 100万美元并扩展该程序

admin

三个多月前，我们将40位全球最佳白帽黑客带到了旧金山的一个未公开地点，以入侵我们的品牌和在线服务组合，其中包括Tumblr，Yahoo，Verizon Digital Media Services和AOL。为此类活动开辟了无与伦比的范围，是时候重新启动一个统一的计划，并吸引一些沉重的打击者，看看我们可以取得什么样的收益。结果是：经过12个小时的黑客入侵，已为经过验证的错误支付了40万美元，这是我们用户以及我们平台的安全保障的巨大胜利。


从那时起，我们的计划就收到了来自世界各地的安全研究人员的持续不断的嗡嗡声，截至6月，我们已为经过验证的错误支付了超过1,000,000美元。这种规模代表着风险的显着降低和攻击面的显着降低。发现并关闭的每个错误都是我们的对手无法利用的错误。


错误提交并不是我们从安全社区收到的。我们还听到了很多反馈，这些反馈是我们在计划政策的五项更改中做出的。尽管我们可能不会为这些月球漏洞提供最高的支出金额，但我们相信可以建立与安全研究人员定期进行互动的程序。我们认为，这是衡量我们程序健康和长寿以及随后的整体安全性的更好的成功指标。那么有什么新消息？

奖励更多类型的漏洞。我们已经扩展了可以根据CVSS严重性和内部定义的影响获得奖励的漏洞列表。我们仍然优先考虑SQLi，RCE和XXE / XMLi漏洞，因此它们仍在我们的支出表中排在首位。注意：所有报告均使用自提交之日起生效的政策。
有资格获得赏金的漏洞

支付表已发布。我们增加了这一层透明性，以便每个人都可以通过提交错误来看到奖励。
宣誓赏金表

周转时间更短。当我们启动该计划时，Oath引起了人们的兴趣。这意味着我们的团队花了一些额外的时间来答复我们收到的报告。誓言已承诺通过近乎每日的跟踪报告来恢复我们的正常响应时间。
EdgeCast正在加入统一的Oath计划。VDMS-EdgeCast-Partners和VDMS-EdgeCast-Customers私有程序现在向所有加入此Oath私有程序的人开放。以前，这些是单独运行的私人程序。

宣誓品牌套件的结构范围。如果您查看了“宣誓品牌”页面，则可能会对我们的漏洞赏金计划的规模有所了解。我们很快将为每个Oath品牌定义结构化范围项，以帮助分离和定义不同资产的错误。

安全形势在不断变化，我们希望对漏洞赏金计划的这些更新将使偏执狂和安全研究人员都更加善于检测威胁，以免威胁对我们的社区造成破坏。