最初這一舉措是效仿微軟、谷歌這些商業(yè)公司的漏洞獎勵計(jì)劃，目的在于通過實(shí)地進(jìn)攻的方式找到國防部系統(tǒng)存在的漏洞，當(dāng)時(shí)的國防部長Ash Cater認(rèn)為，這是一個(gè)“絕佳的學(xué)習(xí)機(jī)會”，并表示“我們不能只是繼續(xù)我們的老路。世界變化太快了，我們的對手變化也太快了。”
漏洞獎勵計(jì)劃初見成效
當(dāng)時(shí)的項(xiàng)目邀請了HackerOne與Synack兩個(gè)知名黑客組織作為托管漏洞獎勵供應(yīng)商，這一項(xiàng)目的出現(xiàn)成為了美國首個(gè)面向外界黑客求幫助的平臺。計(jì)劃執(zhí)行了兩年多，美國國防部似乎嘗到了甜頭，決定在原有的計(jì)劃上做一些“拓展”。
最近，美國國防部宣布，將擴(kuò)大原有的漏洞獎勵計(jì)劃，不僅要將賞金計(jì)劃持續(xù)下去，還將繼續(xù)深入這種眾包安全工作。一紙為期三年，3400萬美元的新合約就此出爐，并且將原有的兩個(gè)合作方擴(kuò)展到了三個(gè)：新增了Bugcrowd。
該合約是一份“不限時(shí)間、不限數(shù)量”的合約，針對政府各部門的各類系統(tǒng)、軟硬件、應(yīng)用進(jìn)行詳細(xì)的測試。
在漏洞獎勵計(jì)劃執(zhí)行的兩年多以來，作為“賞金獵人”的黑客們，先后發(fā)現(xiàn)了超過5000個(gè)各類漏洞，并且發(fā)起了6次漏洞挑戰(zhàn)計(jì)劃：“黑進(jìn)五角大樓”、“黑掉海軍陸戰(zhàn)隊(duì)”、“黑掉陸軍”、“黑掉空軍”等等。在挖洞這種事情上，黑客們可謂是竭盡全力，當(dāng)然，政府這邊也不吝嗇，累計(jì)已送出了超過300000美元的獎勵。
原本兩個(gè)水火不相容的勢力，能夠通力合作，也算是一個(gè)皆大歡喜的結(jié)局。（關(guān)于打造漏洞獎勵計(jì)劃，請見：傳送門2）
以己之矛，攻彼之盾
在如今的網(wǎng)絡(luò)世界中，網(wǎng)絡(luò)安全問題大眾化已非常重要，因?yàn)槭澜缟厦恳粋�(gè)系統(tǒng)都有受到攻擊的可能，并且在安全方面，我們技術(shù)、人才的缺口都非常大。
Bugcrowd的首席執(zhí)行官Ashish Gupta認(rèn)為：雖然我們無法控制我們的對手，但是我們可以控制我們自己。網(wǎng)絡(luò)安全的缺口非常大，在這個(gè)背景下，合理的利用黑客資源，實(shí)行眾包安全的業(yè)務(wù)并無不妥。這一舉措也給黑客群體提供了大量的工作機(jī)會。因此，當(dāng)前最需要關(guān)注的，是在沒有被攻擊之前，發(fā)現(xiàn)漏洞在哪里以及怎么解決它。并且，使用黑客的技術(shù)來防黑客，遠(yuǎn)比我們自身毫無目的測試要有效的多。
在新合約發(fā)布的同時(shí)，政府還表示在第一年內(nèi)至少會有8次限時(shí)獎勵計(jì)劃和5次持續(xù)挑戰(zhàn)計(jì)劃，每個(gè)項(xiàng)目持續(xù)三個(gè)月到一年不等，時(shí)間也有可能出現(xiàn)重合。目前，獎勵金額尚未公布。
同時(shí)，國防部表示，現(xiàn)在美國軍方所使用的各種系統(tǒng)，包括武器、服務(wù)等，比以往任何時(shí)候都更依賴于計(jì)算機(jī)和互聯(lián)網(wǎng)，因此會成為眾多網(wǎng)絡(luò)攻擊的目標(biāo)也不足為奇，網(wǎng)絡(luò)安全的重要性對他們不言而喻。國防部已經(jīng)將防護(hù)的重點(diǎn)擴(kuò)展到了互聯(lián)網(wǎng)之外的物理系統(tǒng)、軟硬件等方面。盡管在過去的幾年中，五角大樓曝出了不少負(fù)面新聞，但政府也已通過該計(jì)劃做出了相當(dāng)大的改善，并且會在將來持續(xù)增加測試的范圍和深度。
總有人認(rèn)為，黑客生來邪惡，存在即是為了犯罪，然而，漏洞獎勵計(jì)劃成功的為廣大黑客群體打造了一副“俠盜羅賓漢”的形象，如果連國家政府、機(jī)要部門都能夠拋開成見，成為眾測計(jì)劃的施行者，那么對于廣大企業(yè)、組織或個(gè)人而言自然也可以。
政府機(jī)構(gòu)所代表的往往是這個(gè)世界上最為安全、縝密的防御系統(tǒng)，但依然被挖出了數(shù)千個(gè)漏洞，其他領(lǐng)域，可謂是細(xì)思極恐。
該來的總會來，沒有絕對安全的系統(tǒng)，但是目前來說，漏洞獎勵計(jì)劃已然是互聯(lián)網(wǎng)發(fā)展邁出的一大步。