一桶布丁提示您:看後求收藏(奇妙書庫www.qmshu.tw),接著再看更方便。
一般來說0day的高危漏洞最高也就是20萬美元的獎金。以谷歌為例,去年全年穀歌在發現漏洞獎勵方面的投入也不過700萬美元,這已經很多了,微軟跟蘋果在漏洞獎金方面的花銷甚至還要少於谷歌。”
“apache基金會作為一家為世界許多公司免費提供軟體使用的公司,其實在提供漏洞獎勵這塊更不可能有太多的資金投入。以java為例,很多漏洞都是我們內部會員免費提供給我們的。這五百萬美元的捐款是希望您能將掌握的漏洞都能提前交給我們,讓我們能對java進行更好更有針對性的最佳化,這也是我們希望對數以百萬計的會員負責。”
阿伯塔·林恩苦笑著解釋道。
寧為恍然大悟。
他是真從沒關心過所謂的漏洞獎金什麼的,畢竟他不靠這個發財,只是聽了阿伯塔·林恩的話,寧為感嘆道:“原來是這樣啊!難怪這些公司的產品推出那麼多年了,漏洞還那麼多,原來這些大公司在漏洞獎金這塊的支出這麼小氣啊?能給駭客帶來數以億計收入的漏洞,獎金最高才給到20萬美元?安全專家們找到了漏洞哪有動力去跟那些駭客一起研究這些啊。”
阿伯塔·林恩當然不會告訴寧為,大公司明面上給予的漏洞獎勵是一套,同時還有專門的人員在會盯著黑市上直接交易的漏洞。就算他想解釋,整個漏洞產業鏈也是非常複雜的,三言兩語又哪裡說得清楚?只能耐心的跟寧為科普道:“不不不,寧教授,您不能這麼說。畢竟找漏洞拿獎金是完全合法的,值得提倡。利用漏洞牟利放在任何一個法制健全的國家都是非法的,是要受到打擊的。這兩者真不能放到一起比較。”
寧為興趣缺缺的說道:“那行吧,五百萬就五百萬吧。回頭我會提供一個有問題的列表發到你們的官方郵箱,當然你們只捐了這麼點錢,我也就只能隨便截張圖給你們了,可能不全,也不會給你們再做演示了。就這樣吧,再見,林恩先生。對了,記得這五百萬是定向捐給寧班的,別搞錯了。”
雖然說市場行情就是這樣,但寧為還是覺得索然無味。就好像雞肋,棄之可惜。不過五百萬美元也是好幾千萬人民幣了,用來給寧班發發福利其實也還行。
但想到其他大富豪一般給學校捐款都是上億上億的捐出去,他這要點捐款才五百萬美元,的確還是有心理落差的。
“等等,要不一千萬美元?真的,寧教授,這是我們在修補漏洞這塊好幾年的預算,都準備拿出來為未來寧班的建設出點力,這……應該差不多了吧?但有一點,以後如果您的團隊又發現了其他漏洞,能否按照流程先提交給我們apache基金會,由官方決定什麼時候對外發布?”
“那如果你們一直不更新補上漏洞豈不是漏洞會一直存在?”
“這其實可以定一個給官方反應的日期,比如一個月。如果我們在確認收到您發的漏洞資訊之後一個月還沒有針對漏洞釋出更新補丁,您就可以將這些漏洞提交給其他網路安全公司。”
“那……行吧!一個月的時間雖然長了點,但事情還是要做完美些好。這樣,你們把這筆錢捐給寧班之後,我會把我們團隊掌握的一些漏洞發到官方的郵箱。”
“您放心,我們馬上就會聯絡燕北大學那邊瞭解捐款渠道,這一千萬今天應該就能特批下來,但不能確定什麼時候到指定的捐款賬戶上。您知道的,大筆轉賬需要些稽核的時間。不過我們可以在官網同步宣佈這個訊息,保證這筆錢能到位的。”
“行吧,那我等會給你們發一份清單過去。就這樣吧,我先掛了。”
聽到清單兩個字,阿伯塔·林恩忍不住抖了抖眉毛,突然覺得這一千萬美元花得大概值了。
“好的,再見,寧教授。”
“再見,林恩先生。”
……
不太讓人愉悅的一通電話之後,寧為讓三月再次調出了java的漏洞庫列表,看了整整五頁的內容,乾脆讓三月按危險度比例挑選了列表中一半的漏洞詳情,發給了apache官方提供的郵箱。
這個數字是很恰當的,完全按照阿伯塔·林恩剛才說的價格來的,起碼在寧為看來對得起對方捐贈的那一千萬美元了。要找出並整理這些漏洞,還是消耗了三月不少算力的,大家又並非朋友,他當然不可能給基金會做義務工。
等值交換就挺好,誰也不佔誰便宜。
谷但即便如此,當對面接收到郵件的時候,一幫技術人員都愣住了。
這是在開玩笑嘛?
列