英国政府对于漏洞赏金计划作为提高其网络应用程序的安全性和弹性的手段的效用仍然不冷不热。美国国防部一直是漏洞赏金计划的长期支持者,包括“黑进五角大楼”和“黑进军队”等倡议。去年,英国国防部与 HackerOne 合作开展了一项成功的漏洞赏金计划。
然而,在上周的CyberUK 会议的媒体小组中,英国国家网络安全中心 (NCSC) 的技术总监 Ian Levy 博士淡化了政府在短期内更广泛地推出漏洞赏金计划的前景。
根据 Levy 博士的说法,现有的英国政府漏洞披露计划符合当前目标。
“我们有一个漏洞披露试点服务,人们可以向我们(在 NCSC)报告错误,然后我们在周末与该系统合作以修复它,”Levy 博士说。
“然后,希望政府部门有自己的漏洞披露计划,人们可以直接报告[问题],而我们不必参与其中。
概括地说,Levy 博士半开玩笑地说:“我们目前不支付漏洞赏金,原因是我们似乎不需要——人们非常乐意来告诉政府我们”我搞砸了。”
更严重的是,Levy 博士指出,自从英国政府部门威胁要对报告潜在安全问题的安全研究人员采取法律行动以来,事情已经发生了变化。
“我们希望我们已经制止了这种事情,”利维博士说。“我们希望政府是一个更负责任的服务所有者。”
当被问及美国和英国政府在漏洞赏金计划当前效用方面的差异时,Levy 博士补充说:“英国 [工作] 的规模比美国小得多,”他说。
Levy 博士指出,英国国防部有自己的漏洞赏金计划,并补充说该机构负责一系列大型、地理分布的系统,因此是一个特例。
如果英国要在政府范围内推出漏洞赏金计划,那么在邀请外部安全研究人员调查其面向网络的资产是否存在漏洞之前,它需要确保已经达到基线安全标准。
其他英国政府高级官员淡化了公共部门漏洞赏金将很快成为常态的可能性。
NCSC 的国家复原力和战略主管 Paul Maddinson 评论说,英国政府刚刚通过了支出审查。
Maddinson 解释说,这篇评论着眼于“你在网络安全和弹性上花费的钱在哪里获得了最大的影响”,并补充说,为漏洞赏金推出提供资金目前并不是支出的优先事项。
Maddinson 总结道:“我们优先考虑我们认为可以利用我们所拥有的资金产生最显着影响的活动。”
评论已关闭。