苹果推出新的漏洞赏金猎人计划 最高可为研究人员提供100万美元奖金
苹果公司目前已经悄悄推出新的漏洞赏金猎人计划,旨在用财务激励吸引更多安全研究人员参与苹果产品的研究。
如果安全研究人员在苹果系列软件例如iOS、iPadOS、macOS、tvOS、watchOS最新版里发现漏洞即视为有效。
苹果将按照漏洞不同的安全级别为研究人员提供高额奖金 , 其中对于无需交互的内核级漏洞提供100万美元奖金。
与其他公司的漏洞计划相同苹果也需要安全研究人员提供详细的概念验证能够确保漏洞是真实有效可被利用才行。
为此如果研究人员发现漏洞并提供概念验证但无法有效利用漏洞的话,对于特定漏洞的奖励金额会被压缩到50%。
当然前提是研究人员愿意将发现的漏洞报给苹果而不是卖给黑市,目前有许多漏洞被某些商业间谍机构高价收购。
例如此前某商业间谍公司为研究人员提供高达250万美元的奖金 , 这些漏洞可能会被用于监视追踪或者间谍行为。
为确保软件最新版本的安全性苹果还在该计划中详细说明安全研究人员应该怎么做才能最大化的获得苹果的赏金。
其中如果漏洞影响多个平台的话赏金激励会明显增多,同时研究人员也需要关注苹果发布的各种测试版本的固件。
测试版通常带来新功能需要增加更多代码因而更容易出现漏洞,所以苹果也建议研究人员对这些新内容进行审计。
此外如果漏洞能够冲击系统的敏感组件例如内核的话,通常安全威胁等级更高因此也可以获得更丰厚的漏洞赏金。
更多内容请点击这里转到苹果公司开发者网站主页查看详情:https://developer.apple.com/security-bounty/