美国空军“Hack the Air Force”漏洞奖励项目结束，发放超13万美元奖金

早在去年，美国国防部就依托 HackerOne 等平台，成立了 “Hack the Pentagon”、“Hack the Army” 和 “Hack the Air Force” 这三大漏洞奖励项目，这可以说是美国政府至今最开放的几个项目了。

2017 年 5 月 30 日到 6 月 23 日，美国国防部邀请经过安全研究人员、军人以及来自“五眼”（美国、英国、加拿大、澳大利亚和新西兰）联盟的白帽黑客“入侵”美国空军的网络。截至 6 月 23 日，“入侵空军”项目完结，共有 272 名白帽黑客参与了这个项目，共提交漏洞 207 个，拿到超过 13 万美元的漏洞奖金。仔细计算下来，相当于平均一个漏洞就拿到了 644 美元的奖励。

这次“入侵空军”项目可以说是非常精彩，在项目开始不到一分钟的时间内，就有人提交了一血。在所有提交漏洞的人中，只有两名是现役军人。获得奖金最多的是一名 17 岁的白帽子，他一共提交了 30  个有效漏洞。

美国空军首席信息安全官彼得金表示：

对手在不断尝试攻击空军的网站，因此空军希望能征集到多方意见（例如这次的漏洞奖励计划就能收到几百条意见），确保空军网络的在线基础设施安全稳健发展。让全球的安全研究人员甚至军方人员参与进来，提交漏洞，空军就能更好地评估官网漏洞，尽力做好空军在空中、地面以及网络中的安保工作。

虽然“入侵空军”项目已经完结，但是如果研究人员平时如果发现美国国防部的网络漏洞，仍然可以在其持续开放的漏洞披露平台（主要依托 HackerOne）提交漏洞。美国国防部表示将会认真审核这些漏洞并及时给出反馈。

美国政府的漏洞奖励措施

此前的 “入侵陆军” 项目中，共有 371 名研究人员参与，累计提交 118 个有效漏洞，共获得约 10 万美元的奖金。

2016 年 12 月开启的 “入侵五角大楼” 项目共有 1400 名白帽黑客参与，收到 138 个有效漏洞。这个项目花费了美国政府 15 万美元，其中有一半作为奖金发给了参与人员。

HackerOne 作为美国这三大漏洞奖励项目的支撑平台，同时也支撑了很多其他大型厂商的漏洞奖励项目。Airbnb、CloudFlare、General Motors、GitHub、New Relic、Nintendo、Qualcomm、Starbucks、Uber 和 Lufthansa 都在 HackerOne 平台开设了漏洞奖励项目。同时，美国司法部也打造了漏洞披露计划框架，帮助公共和私有组织机构更好地运行漏洞奖励项目。

*参考来源：Securityweek，AngelaY 编译，转载请注明来自 FreeBuf.COM