保障Zoom和用户的网络安全:2022年Zoom“漏洞奖金”计划回顾

网络安全,速度为先。我们争分夺秒,为的是比黑客更早发现系统漏洞和潜在风险。为此,我们要善加利用白帽黑客(道德黑客)社群的力量,帮助我们防患于未然。

Zoom凭借漏洞奖金计划(Zoom Bug Bounty program)的助力,与专业研究人员建立联系并将其招募于计划中,以协助我们主动降低系统风险,为客户创造更安全的使用环境。在过去一年中,该计划取得了卓越成就,在此我们将带您一同对这项计划进行回顾:

图片

2022年回顾

虽然Zoom每天都会对基础设施进行测试,但是我们也难免受到边缘用例(edge-case)漏洞的影响。因此,我们寻求白帽黑客的支援,他们将协助我们发现只在特定情况下才会暴露的系统漏洞。

自设立以来,Zoom的漏洞奖金计划致力于招募熟练、高效的研究人员。2022年,我们特别向活跃的网络安全领域人才发出邀请,希望为HackerOne计划扩充力量。我们还将纳新目光投向计划以外,通过H1-702等行业活动招募白帽黑客。

Zoom向辛勤工作的研究人员和准确的漏洞报告给予相应的嘉奖。2023财年,我们向数百位研究人员发放了390万美元的奖励。自计划开始以来,累计发放奖金超过700万美元。

除了找出系统的薄弱环节以外,外部研究人员还以其他形式促进Zoom发展。通过他们提交的报告,Zoom不仅能够发现亟需关注的问题,标记问题的深层原因,改善跨部门协同,还能找到潜在威胁,防患于未然。基于此,过去两年时间里,漏洞奖金报告的解决速度大大提升。

2023年计划更新和未来展望

今年年初,Zoom更新了本财年的漏洞奖金计划。我们评估了目前计划内的研究人员,以确保所有参与者都保持活跃并对项目有所贡献。我们希望以良好的姿态开始新的一年,这需要我们与高水平、高效的研究人员并肩作战。

Zoom的Bug Bounty计划正在执行一套全新的漏洞影响评分系统,以帮助计划中的研究人员实现最佳工作成果。我们仍将沿用作为行业标准的常见漏洞评分系统(CVSS),对报告进行评分。在此基础上,将增加一个漏洞影响评分系统(VISS)作为配套评分系统。VISS能够从13个维度逐个分析系统漏洞对Zoom基础设施、技术和客户数据安全的影响。随着VISS系统投入使用,漏洞奖金计划就能够进一步可靠地衡量系统漏洞的影响,而非作为系统理论上被攻击可能性的参考。

未来的道路

过去一年,Zoom漏洞奖金计划取得长足进展,不论是运行流程、奖励还是测试范围,都持续进步并趋于成熟。我们非常期待见证2023年新评分系统的成效和研究人员将取得的丰硕成果。Zoom将与各方携手,共同保障平台和用户的网络安全。

版权声明:本文内容转自互联网,本文观点仅代表作者本人。本站仅提供信息存储空间服务,所有权归原作者所有。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至1393616908@qq.com 举报,一经查实,本站将立刻删除。

(0)

相关推荐

发表回复

登录后才能评论