[科技思考] DICT 的漏洞赏金计划与道德黑客一览

资讯与通讯科技部于1月14日发布部门通告HRA-002，制定了关于漏洞披露以及国家安全港政策和漏洞赏金计划的修订和综合指南、规则和规定。

资讯与通讯科技部部长Henry Aguda去年甚至前往Rootcon黑客大会宣传这一发展，表示国家的黑客应该利用他们的技能"保护而非破坏"。

为此，安全港政策和漏洞赏金计划(SHPBBP)的建立对于拥有正确技能的人来说应该是一个值得欢迎的消息，因为它试图激励对政府服务进行负责任的网络安全披露。

让我们来看看这一切意味着什么，特别是如果你还没有听说过这一发展。

道德黑客、漏洞赏金和安全港政策

道德黑客是指网络安全专业人员(也称为白帽黑客)在漏洞被不道德或黑帽黑客恶意利用之前，识别并帮助修复应用程序、系统或技术中的漏洞的过程。

因此，道德黑客模拟真实世界的网络攻击来评估系统的风险，以便改进或加强系统的安全性。

为了让道德黑客对白帽黑客有回报，漏洞赏金计划是建立的组织结构，用于评估并为发现漏洞并负责任地将其提交给被黑客入侵系统的开发人员的工作提供经济补偿。这样可以改进这些系统的安全性。

漏洞赏金计划通常为黑客的工作提供保护。

这些安全港政策旨在保护白帽黑客或安全研究人员在寻找漏洞的过程中发现某些问题时免受行政、民事或刑事责任，只要他们根据特定漏洞赏金计划的具体要求正确披露其研究成果。

资讯与通讯科技部的SHPBBP通告是关于什么的?

资讯与通讯科技部的SHPBBP概述了参与资讯与通讯科技部漏洞赏金计划所需的保护和要求。

现在，你可能想知道是否任何人都可以参与漏洞赏金。

就资讯与通讯科技部的通告而言，你至少必须是专业的网络安全研究人员才能参与。你还必须通过"了解你的贡献者"(KYC)程序进行注册，才有资格从漏洞赏金中获得奖励。

具体而言，该通告适用于以下对象:

• 行政部门下的所有国家政府机构，包括政府拥有和控制的公司及其子公司、政府金融机构和州立大学及学院，包括*.gov.ph域名下的机构和资讯与通讯科技部管理的平台;
• 菲律宾国会、司法机构、独立宪法委员会、监察专员办公室和地方政府单位被高度鼓励采用本通告;
• 自愿加入资讯与通讯科技部公私网络安全伙伴关系计划的私营实体;
• 国家网络安全计划(NCSP)中确定的关键信息基础设施(CII)运营商;以及
• 负责识别和分析组织网络和系统潜在威胁的网络安全研究人员。

同时，只有当你是安全研究人员且仅测试漏洞赏金范围内声明的系统;你不进行任何未经授权的数据窃取、更改或服务中断;你负责任地、私下地向资讯与通讯科技部或授权实体报告漏洞;并且你对调查结果保密，在你发现的问题得到解决或获得公开讨论许可之前不予披露时，安全港保护才适用。

这一切是如何运作的?

你可能好奇这在实践中如何运作，所以这里是它通常的进行方式。

安全研究人员通过上述"了解你的客户"程序申请加入资讯与通讯科技部的倡议。他们必须完成整个过程并被接受才有资格获得现金奖励。利益冲突——例如资讯与通讯科技部人员和资讯与通讯科技部聘用的第三方服务提供商——会使潜在申请人失去参与这些漏洞赏金的资格。

漏洞赏金计划的赏金将由参与实体设定，即需要帮助的政府机构或想要设定自己赏金的政府合作伙伴。使该通告运作的资金"应从所涵盖机构或机构的现有预算中支出，以及预算和管理部可能确定的其他适当资金来源，须遵守相关法律、规则和规定。"

这些赏金——包括哪些网站或服务以及这些网站和服务的哪些方面需要测试——列在漏洞披露计划门户(VDPP)上，这是一个专门用于寻找漏洞并报告它们的网站。这由资讯与通讯科技部的网络安全局托管和维护。

正确报告给VDPP的漏洞和问题可能属于四种可能的安全场景，从严重、高、中到低，根据报告及其严重程度按行业标准提供潜在的奖金。

资讯与通讯科技部的网络安全局将验证报告，并向那些经过验证的报告提供者"为研究人员在报告和/或
解决已验证漏洞方面的贡献提供适当的证书/认可。"私营部门参与实体在与资讯与通讯科技部网络安全局协调后，可能根据VDPP中概述的结构化激励机制提供适当的金钱奖励或激励。

除了金钱奖励外，负责任的披露还会获得政府的关注。奖励包括数字和印刷证书、在VDPP上的公开认可，以及纳入资讯与通讯科技部的其他引用，根据通告规定。

一项急需的发展

一个具有明确参与流程规则的国家漏洞赏金计划是好消息，也是网络安全领域急需的发展，因为它应该有助于长期激励道德黑客，同时改善目前的政府系统。

如果你是一名新兴的网络安全专业人员，这可能是进入该行业的好方法，只要你知道自己在做什么并完成负责任披露所需的工作。

查看此处链接的通告了解详情并参与其中。你可能正在帮助改善政府安全，防范一些不良分子。– Rappler.com